一、背景
缺省的es没有任何用户认证,容易被安全软件扫描到,判定为违规,所以为了满足使用要求,给es加上基本的安全防护。
基本的用户密码验证启动后,访问es就需要用户密码了,用浏览器访问会弹框,要求输入用户密码,用api访问,则需要设置BasicAuthentication。
要实现基础安全验证需要两个条件:(1)启用内置用户安全验证(es内置了几个用户,但没有设置密码,没有生效),(2)集群的节点之间必须采用加密通信,即:TLS/SSL。(免费开源版本的要求)
二、启用基本身份验证的方法
1.停止原来的集群
2.产生节点间加密通信TLS/SSL所需要的证书,并拷贝到各个节点
在es的bin目录下运行命令行,产生一个证书(elastic-statck-ca.p12),这个证书可以复制到任意节点上,放到每个节点的config/certs/目录下。命令行如下:
./bin/elasticsearch-certutil cert --ca elastic-stack-ca.p12
参见:Encrypting communications in Elasticsearch | Elasticsearch Guide [7.10] | Elastic
3.配置elasticserach.yml,支持web服务的基础安全认证(用户密码)和TLS。
(1)支持基础安全认证
xpack.security.enabled : true
(2)支持节点间传输层加密(TLS/SSL)
xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate
xpack.security.transport.ssl.keystore.path: certs/elastic-certificates.p12
xpack.security.transport.ssl.truststore.path: certs/elastic-certificates.p12
参见:Encrypting communications in Elasticsearch | Elasticsearch Guide [7.10] | Elastic
4.配置集群的用户密码
(1)启动集群
(2)设置内置账户密码
找其中一个节点,运行elastic-setup-passwords interactive 设置es集群内置账号的密码,如果不设置这些账号密码,那么访问es不需要身份认证。es有多个不同用途的内置账号,其中elastic是超级用户账号,一般我们用超级用户账号就可以了。
参见:Built-in users | Elasticsearch Guide [7.10] | Elastic
5.验证
设置好密码之后,两种方式访问es,一种通过浏览器,则浏览器弹出用户密码,输入elastic用户名和相应的密码就可以访问。另一种通过程序,如:nest,则需要设置ConnenctionSettings.BasicAuthentication(userName,password).