Elasticsearch+Kerberos认证

最新推荐文章于 2023-09-22 18:41:05 发布
最新推荐文章于 2023-09-22 18:41:05 发布
阅读量604 收藏 3
点赞数
分类专栏: java 文章标签: elasticsearch 大数据 搜索引擎 运维 面试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67394002/article/details/126359923
版权

Elasticsearch 7.x版本 安全功能部分免费

Xpack功能License等级:
开源、基础级、黄金级、白金级、企业。
Elasticsearch在7.x版本中部分功能免费给大家使用。
例如:

  1. 加密通信
  2. 基于角色的访问控制
  3. 文件和原生身份验证

具体情况可以参考这里

Xpack的Kerberos认证功能

Kerberos认证目前只有取得白金级License才能使用。

小白也看到过一些大佬通过研究代码Pojie License,然后无限期使用Xpack的额外非免费功能。这对于任何一个Java开发者也确实不是什么难事儿(小白还是支持使用正版的)。

但是目前并没有多少帖子来好好讲讲Elasticsearch中的Kerberos认证功能怎么用。
小白在这里试图解释一下这件事儿,让想使用Kerberos功能的小伙伴(大佬可略过)找到一些思路。想更深入了解的人可以联系我讨论,谢谢。

如何使用Kerberos认证

1. Kerberos认证原理

Kerberos认证的原理说起来非常复杂,但是使用起来的时候其实也没那么复杂。

说白了,Kerberos认证就像是去动物园参观,凡是被动物园“保护”起来的动物都不是随随???能观赏的(野生动物请随意)。
如果你想观赏动物园里的动物,那么请先买观赏这个动物区的门票。

于是,你趁着周末休息买了张能参观大猩猩的门票,准备周末带nvyou去浪浪。
但问题来了,你买了能观赏大猩猩的门票,你老婆说非要去看孔雀。你对动物园管理员大发脾气,能不能给我一张全票,能观赏所有动物的?动物园管理员觉得可行,修改了一下票种,告诉你好了,你可以拿着这个票去参观所有动物了。

2. 如何使用Kerberos功能

确保集群的服务端的Servers(ES nodes)已经开启了Kerberos功能(可以申请免费License,或者有能力的话,改造服务端认证逻辑)。

 . 请确保您的KDC在config目录下为ES分发了需要的Kerberos账号(example:HTTP/192.168.1.12@EXAMPLE.COM)
 . 如果需要,您还可能为每个ES node增加一个通用系统账号
 . 请开启加密通信功能,这里不再赘述,相关细节可以参考Elasticsearch Reference
 . 请在elasticsearch.yml中增加Kerberos配置,例如:
   xpack.security.authc.realms.kerberos.kerb1:
     order: 0
     keytab.path: elasticsearch.service.keytab
     krb.debug: false
     remove_realm_name: true

确保你对客户端进行了Kerberos认证改造,可以携带你的认证票据到服务端去。

 . 如果您没有使用RestClient API,那么您可以在代码中设计您自己的Get Kerberos TGT逻辑,只要能携带认证票据Set到Header中去即可。
 . 您还可以改造客户端源码,在RestClient.java或者RestClientBuilder.java增加认证环节,Get到TGT,并Set到Header中去发送到服务端。

如果你仍有余力,还可以优化为自动刷新认证Token,避免1天后Token(目前小白知道的是JDK1.8只能是1天,无法修改这个时间,如果你有找到方法,感谢分享给小白)过期失效。

 . 可以设置一个单例进程来维护自动刷新到任务

请为您的Kerberos用户和ES用户做映射

 . Kerberos用户的名称请保持与ES用户的名称一致(双方密码不必一致,这个就是产品设计的问题了)
 . 映射命令:
   curl -XPOST -v -k -u elastic:*** “https://192.168.2.12:9200/_security/role_mapping/kerberosmapping?pretty” -H ‘Content-Type: application/json’ –d ‘
   {
     “roles”: [“superuser”],
     “enabled”: true,
     “rules”: {
       “field”: {“username”: “elastic”}
     }
   }’

上面一切做好之后

[root@mynode1 elasticsearch-7.3.2]# kinit elastic
Password for elastic@EXAMPLE.COM:
[root@mynode1 elasticsearch-7.3.2]# klist
Ticket cache: FILE:/tmp//krb5cc_0
Default principal: elastic@EXAMPLE.COM

Valid starting       Expires              Service principal
12/03/2019 02:31:21  12/03/2019 03:31:21  krbtgt/EXAMPLE.COM@EXAMPLE.COM

发送curl命令

[root@mynode1 elasticsearch-7.3.2]# curl --negotiate -u : -XGET "https://192.168.1.12:9200/_cluster/health?pretty"
{
  "cluster_name" : "linux-7.3.2",
  "status" : "yellow",
  "timed_out" : false,
  "number_of_nodes" : 2,
  "number_of_data_nodes" : 2,
  "active_primary_shards" : 15,
  "active_shards" : 27,
  "relocating_shards" : 0,
  "initializing_shards" : 0,
  "unassigned_shards" : 3,
  "delayed_unassigned_shards" : 0,
  "number_of_pending_tasks" : 0,
  "number_of_in_flight_fetch" : 0,
  "task_max_waiting_in_queue_millis" : 0,
  "active_shards_percent_as_number" : 90.0
}

如果您要使用Java RestClientAPI,还需要准备三样东西

1)	krb5.conf:该文件可以从Kerberos服务的配置中得到,里面记录了KDC的服务地址。
2)	keytab文件:该文件是一个二进制文件,里面记录了一个或者多个Kerberos用户与密码信息。
3)	principal:客户端需提供即将进行操作的用户,请确保该用户信息存在于keytab中。
使用过程中,可以将krb5.conf以及keytab加载到项目conf目录,并且set到系统property中

小白的样例代码如下:

--Test.java
    public static void main(String[] args) throws IOException, LoginException {
		
		KrbUtils.esLoginWithKDCRegistered("elastic", "user.keytab", false);
		RestHighLevelClient client1 = new RestHighLevelClient(
		        RestClient.builder(
		                new HttpHost("192.168.82.133", 9201, "https"),
		                new HttpHost("192.168.82.133", 9202, "https")));
		......


--KrbUtils.java
    ......
    public static void esLoginWithKDCRegistered(String principal, String keytab, boolean debug) 
			throws LoginException, IOException {
		System.setProperty(JAVA_SECURITY_LOGIN_CONF, CURRENT_CONF_DIR + FILE_SEP + JAAS_FILE_NAME);
		System.out.println(System.getProperty(JAVA_SECURITY_LOGIN_CONF));
		System.setProperty(JAVA_SECURITY_KRB5_CONF, CURRENT_CONF_DIR + FILE_SEP + KRB5_FILE_NAME_);
		if(debug) {
			System.setProperty(JAAS_KRB5_DEBUG_CONF, Boolean.TRUE.toString());
		}
		String module = System.getProperty(ES_CLIENT_MODULE_CONF);

		if(null == module || "" == module) {
			System.setProperty(ES_CLIENT_MODULE_CONF, ES_CLIENT_MODULE_DEFAULT_NAME);
		}

		createJaasConfFile(principal, keytab);
		// LoginContext lc = null;
		// lc = new LoginContext(System.getProperty(ES_CLIENT_MODULE_CONF));
		// lc.login();
		deleteJaasFile();
	}
	......

篇幅有限,小白又懒,如果您也受到Kerberos困扰了,可以直接@小白交流,多谢。

模糊化的
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
elasticsearch 实现基于spark的kerberos认证
coreych的专栏
03-02 1831
elasticsearch 实现基于spark的kerberos认证
ES集群搭建、身份认证配置
最新发布
weiye2012的博客
05-07 755
elasticsearch 默认不允许root用户启动,所以需要创建es用户。
Elasticsearch安全认证功能
weixin_38932035的博客
05-20 870
https://www.cnblogs.com/jclty/p/12913996.html https://blog.csdn.net/laoyang360/article/details/90554761?utm_medium=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-1.nonecase&depth_1-utm_source=distribute.pc_relevant.none-task-blog
flink写入带kerberos认证的kudu connector
03-24
flink写入带kerberos认证的kudu connector
kerberos的java实现
06-07
用java语言实现的简单的kerberos,可以对客户端进行AS,tgs的认证
kerberos java system
03-29
kerberos的java实现,使用kerberos关键技术的认证系统,有jar包及kerberos的kdc等。附带说明使用文档,配置成功可以运行。
ElasticSearch集群管理及运维
02-24
Elasticsearch 集群管理及运维大数据时代下搜索引擎技术的重要组成部分,尤其在处理海量数据时,确保系统的稳定性和安全性至关重要。Elasticsearch 作为一款流行的大数据搜索引擎,其默认配置并不提供全面的安全...
实时检索运行步骤1
08-08
- **ESSearch**:执行Elasticsearch查询,根据人名搜索对应的ID,Elasticsearch的强项在于全文搜索和快速返回结果。 - **HbaseSearch**:利用HBase的查询功能,根据ID查找其他关联信息。HBase是一个适合大规模结构...
ElasticSearch7.2.1+SearchGuard+Kibana+KerBeros集群测试环境部署文档.pdf
11-16
ElasticSearch7.2.1+SearchGuard+ KerBeros+Kibana 集群测试环境部署文档,全网首发,网上能找到的都没有带上kerberos这种环境的,本文档包含了4大件ElasticSearch、SearchGuard、KerBeros、Kibana,谢谢下载
[OpenDistro] elasticsearch安全之开启kerberos
qq_24186017的博客
03-17 757
前言 方案一:修改elasticsearch x-pack模块源码,破解license最低为白金版本 刚开始调研为了使用kerberos,进行了破解。但是作为to B企业,这样做不是很好。所以再寻找其他方案 方案二: 使用亚马逊开源的Open Distro,里面有安全的插件,是完全开源的。 这个方案很适合我们公司,完全开源的。只需要安装插件即可。 ...
elasticsearch添加kerberos认证完整操作流程
m0_68158196的博客
09-22 1038
es添加kerberos认证的完整操作流程,包含kerberos服务的搭建、es如何添加kerberos认证以及java如何操作添加了kerberos认证的es
Java连接ES的多种方式
dkjhl的博客
03-13 4719
本篇文章主要介绍,使用Basic、Transport、Kerberos三种方式连接ES,脚本为Java
ElasticSearch6.8及以上版本开启安全认证功能
架构师修炼道路
02-07 1037
ElasticSearch6.8及以上版本开启安全认证功能在6.8之前免费版本并不包含安全认证功能,之后版本有开放一些基础认证功能,对于普通用户来说是够用的。免费版本需要同时在ES和kibana端开启安全认证功能,下面介绍如何操作。
logstash采集带kerberos认证的kafka数据到es
who_im_i的博客
01-06 1251
1.kafka输入插件 input { kafka { bootstrap_servers => "test1:9092,test2:9092,test3:9092" #集群地址 topics => ["test"] #主题,可以有多个 security_protocol => "SASL_PLAINTEXT" sasl_kerberos_service_name => "kafka" group_id => "test" c
【es】如何使用 Kerberos 确保您 Elasticsearch 集群的安全
九师兄
01-13 1151
我们考虑一个简单情境,假设用户 Alice(爱丽丝)拥有一个单节点集群。Alice 已有一个,她现在希望通过Kerberos身份验证确保 Elasticsearch 集群的安全。Kerberos 身份验证服务器有权对Realm内的用户、主机或服务进行身份验证。本文中使用的命令参考了实施版本。有关更多详情,请参阅MIT Kerberos 文档。主机 1 (kdc.demo.local):这是 Kerberos 密钥分发中心 (KDC),通常包括身份验证服务器和票据授予服务器。
Spark连接ES实现kerberos认证
dkjhl的博客
09-15 2376
Mechanism level: Server not found in Kerberos database (7) - LOOKING_UP_SERVER spark连接ES,kerberos认证 Missing required negotiation token Mechanism level: Request is a replay (34)
金仓数据库KingbaseES安全指南--6.3. Kerberos身份验证
arthemis_14的博客
08-01 846
金仓数据库KingbaseES安全指南--6.3. Kerberos身份验证
java实现Elasticsearch+Kerberos认证
05-30
要在 Java 中实现 Elasticsearch + Kerberos 认证,可以按照以下步骤进行操作: 1. 配置 Kerberos:在使用 Kerberos 认证之前,您需要配置 Kerberos 客户端并在 Elasticsearch 集群中启用 Kerberos 认证。这通常...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值