ES用户验证

最新推荐文章于 2024-07-26 14:41:58 发布
最新推荐文章于 2024-07-26 14:41:58 发布
阅读量1.4k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39182815/article/details/114383399
版权

ES用户验证

ES的五个内置用户

五个内置用户:

elastic super_user

kibana_system 用户Kibana用来连接Elasticsearch并与之通信

logstash_system Logstash用户在将监控信息存储在Elasticsearch中时使用

beats_system Beats在Elasticsearch中存储监视信息时使用的用户

**apm_system**APM服务器在Elasticsearch中存储监视信息时使用的用户

remote_monitoring_user Metricbeat用户在Elasticsearch中收集和存储监视信息时使用

基本用户验证机制

Realms

Elastic Stack 通过使用realms对用户进行身份验证。

realm用于基于身份验证标记解析和验证用户,在es中提供了以下内置realm:

  • native 支持集群本地用户名和密码形式的身份验证,在没有显示配置realm时默认可用
  • ldap 使用外部LDAP服务器进行身份验证,需要显示配置才能使用
  • active_directory 使用外部active_directory服务器进行身份验证,需要显示配置才能使用
  • pki 使用PKI进行身份验证,需要显示配置
  • file 使用集群本地文件的用户进行身份验证,始终可用
  • saml SAML 2.0 Web SSO
  • kerberos Kerberos
  • oidc 使用 OpenID 连接实现身份验证的realm,它使 Elasticsearch 成为 OpenID 连接依赖方(RP) ,并在 Kibana 提供单点登录(SSO)支持

内部realm(支持基于本地集群上的身份验证):nativefile
外部realm(可使用外部服务器进行身份验证):ldap,active_directory,pki,saml,kerberos,oidc

Realm Chain

Realm chain本质上是已配置的realm的优先级列表,多个realm上可能存在多个相同的用户,配置realm chain可以确保用户验证按照优先级验证

xpack.security.authc.realms:
  file.file1:
      order: 0

  native.native1:
      order: 1

  ldap.ldap1:
      order: 2
      enabled: false
      url: 'url_to_ldap1'
      ...

  ldap.ldap2:
      order: 3
      url: 'url_to_ldap2'
      ...

  active_directory.ad1:
      order: 4
      url: 'url_to_ad'

不同realm的详细配置参数可以参照官方文档:https://www.elastic.co/guide/en/elasticsearch/reference/7.10/security-settings.html#ref-realm-settings

file realm

文件目录

es集群在启动会时读取ES_PATH_CONF下的users和users_roles文件,且会每五秒检查这些文件是否更改。

ES_PATH_CONF/users

rdeniro:$2a$10$BBJ/ILiyJ1eBTYoRKxkqbuDEdYECplvxnqQ47uiowE7yGqvCEgj9W
alpacino:$2a$10$cNwHnElYiMYZ/T3K4PvzGeJ1KbpXZp2PfoQD.gfaVdImnHOwIuBKS
jacknich:{PBKDF2}50000$z1CLJt0MEFjkIK5iEfgvfnA6xq7lF25uasspsTKSo5Q=$XxCVLbaKDimOdyWgLCLJiyoiWpA/XDMe/xtVgn1r5Sg=

用户文件存储所有用户及其密码。文件中的每一行代表一个单独的用户条目,其中包含用户名和经过散列和加盐处理的密码。

ES_PATH_HOME/users_roles

admin:rdeniro
power_user:alpacino,jacknich
user:jacknich

每一行都将一个角色映射到一个以逗号分隔的列表,该列表包含与该角色关联的所有用户。

用户操作

通常使用**ES_HOME/bin/elasticsearch-users**进行 单个节点下 用户的添加、删除等操作,在进行用户添加后,需要确保所有集群节点进行相同的更改。

bin/elasticsearch-users
([useradd <username>] [-p <password>] [-r <roles>]) | #用户添加
([list] <username>) | #查看文件用户
([passwd <username>] [-p <password>]) | #重置用户密码
([roles <username>] [-a <roles>] [-r <roles>]) | #定义用户角色
([userdel <username>]) #用户删除

native realm

native realm是管理和验证用户最简单的方法,可以使用RESET API和Kibana进行用户操作

配置native realm

在没用显示配置realm和realmchain时,默认情况下native realm是可用的,如果在elasticsearch.yml中显示配置了其他realm,则必须将native realm添加到realm chain中

xpack.security.authc.realms:
  native.native1:
      order: 0
ES USERS API
  • 用户创建
POST /_security/user/<username>
PUT/_ security/user/< username >

Example:

POST /_security/user/jacknich
{
  "password" : "j@rV1s",
  "roles" : [ "admin", "other_role1" ],
  "full_name" : "Jack Nicholson",
  "email" : "jacknich@example.com"
}

------返回值
{
  "created": true //更新已存在的user时,返回false
}
  • 更改密码
POST /_security/user/_password
POST /_security/user/<username>/_password
------
返回值
{}
  • 删除用户
DELETE /_security/user/<username>

------返回值
{
  "found" : true
}
  • enable\disable用户
PUT /_security/user/<username>/_enable[_diable]
  • GET
GET /_security/user
GET /_security/user/<username>

ex:
GET /_security/user/jacknich

{
  "jacknich": {
    "username": "jacknich",
    "roles": [
      "admin", "other_role1"
    ],
    "full_name": "Jack Nicholson",
    "email": "jacknich@example.com",
    "metadata": { "intelligence" : 7 },
    "enabled": true
  }
}
团子Yui
关注
es 怎么验证是否安装成功_基础篇ES数据库单节点部署
weixin_33879932的博客
12-31 2102
Elasticsearch是一个基于Lucene的搜索服务器。它提供了一个分布式多用户能力的全文搜索引擎,基于RESTful web接口。Elasticsearch是用Java语言开发的,并作为Apache许可条款下的开放源码发布,是一种流行的企业级搜索引擎。Elasticsearch用于云计算中,能够达到实时搜索,稳定,可靠,快速,安装使用方便。操作流程,系统初始化的配置,请查看上篇C...
elasticsearch连接超时_elasticsearch 配置 TLS 和身份验证
weixin_28846179的博客
01-19 1482
参考官方文档https://www.elastic.co/cn/blog/getting-started-with-elasticsearch-security步骤 1:在 Elasticsearch 主节点上配置 TLScd /usr/local/es-m-80/elasticsearch-7.6.2/bin/elasticsearch-certutil cert -out config/ela...
ES的两种认证登录方式: JAVA REST Client/HTTP Client
lukabruce的博客
12-14 2559
ES的两种认证登录方式: JAVA REST Client/HTTP Client。
Elasticsearch——设置用户密码认证
最新发布
smart_an的专栏
07-26 1060
作者简介:大家好,我是哥,前中兴通讯、美团架构师,现某互联网公司联系qq:184480602,加我进群,大家一起学习,一起进步,一起对抗互联网寒冬学习必须往深处挖,挖的越深,基础越扎实!
ElasticSearch学习(十)—— 增加身份认证
yilia_jia的博客
02-16 3503
目录 es设置用户名密码认证 elasticsearch.yml 中添加配置 重启elasticsearch服务 设置elasticsearch密码 访问验证 kibana设置用户名密码认证 kibana.yml添加验证信息 启动kibana 访问验证 JAVA REST Client设置身份认证 HTTP Client设置身份认证 es设置用户名密码认证 elasticsearch.yml 中添加配置 # 配置X-Pack http.cors.enabl.
es的相关知识三(检查文档是否存在以及更新整个文档以及局部更新)
qq_40651753的博客
01-07 1854
一、检索文档是否存在 如果你想做的只是检查文档是否存在——你对内容完全不感兴趣——使用 HEAD  方法来代替 GET  。 HEAD  请求不会返回响应 体,只有HTTP头: curl -i -XHEAD http://localhost:9200/{index}/{type}/{id} Elasticsearch将会返回 200 OK  状态如果你的文档存在: HTTP/1.1 2...
ES用户认证
war3c009的博客
06-27 2503
ES用户认证
elasticsearch用户认证
09-03
Elasticsearch是一个开源的分布式...综上所述,Elasticsearch用户认证是保护集群和数据安全的重要措施。透过设置用户名和密码,限制对集群的访问,并赋予不同的权限,可以有效地防止未经授权的访问,提高集群的安全性。
ElasticSearch添加用户权限验证.docx
02-03
在本文中,我们将深入探讨如何为线上运行的Elasticsearch 6.4.3集群添加用户权限验证,以解决安全扫描发现的未授权访问问题。Elasticsearch虽然默认提供了安全措施,但在某些特定环境中,例如内网环境,仍可能面临...
安全访问:如何在 Elasticsearch 中实现用户认证和授权
07-18
### 安全访问:如何在Elasticsearch中实现用户认证和授权 在当前的数据驱动时代,Elasticsearch作为一款高效且强大的数据处理与分析工具,其应用已经非常广泛。但随之而来的是对于数据安全性的需求越来越高。为了...
ES查询客户端,elasticsearch可视化工具 elasticsearch查询客户端
06-20
1. 连接Elasticsearch:配置客户端连接参数,如节点地址、端口、认证信息等。 2. 创建索引:定义索引结构,包括字段名、类型等。 3. 插入数据:将数据批量或单条插入到指定索引中。 4. 执行查询:利用客户端提供的...
4、docker-compose安装elasticsearch:7.12.0带用户名密码验证并配置es-head连接
lihongbao80的专栏
08-02 9648
搭建es用户名密码验证,并能es-head登录,及简单命令
ES开启用户登录认证
weixin_44302759的博客
07-22 2246
elasticsearch开启用户登录认证
ELASTICSEARCH7.4 免费启用X-PACK插件 设置账号、权限 包含错误--ERROR: FAILED TO SET PASSWORD FOR USER [APM_SYSTEM]
专注基础架构领域
10-08 2794
kibana面板本来用不同的用户空间开放给不用的用户使用,但是不同的面板空间都需要新建索引管理,很不方便;官方给的消息说从6.8 和 7.1 开始默认提供x-pack的安全功能,虽然只是一部分,但也够用了。,vim /etc/kibana/kibana.yml (使用的是kibana用户,但是登陆还的用超管用户--elastic);,就能启用,如果出现问题;这样就可以根据不同的用户分配权限了,还是官网自产的东西便于使用。8. 配置成功后,登陆kibana,在【管理】中发现多了【安全】的配置;
elasticsearch6.7开启鉴权
m0_37549390的博客
05-30 547
elasticsearch basic版默认x-pack模块security特性不可用,需要申请试用获得授权才可以试用security特性
Elasticsearch:用户安全设置
Elastic 中国社区官方博客
10-29 8505
Elastic Stack的组件是不安全的,因为它没有内置的固有安全性。 这意味着任何人都可以访问它。 在生产环境中运行Elastic Stack时,这会带来安全风险。 为了防止生产中未经授权的访问,采用了不同的机制来施加安全性,例如在防火墙后运行Elastic Stack并通过反向代理(例如nginx,HAProxy等)进行保护。 Elastic提供商业产品来保护Elastic Stack。 此...
Elasticsearch:基于文件的用户认证
Elastic 中国社区官方博客
12-16 2836
你可以使用内置文件域(file realm)管理和验证用户。使用文件域,用户在集群中每个节点上的本地文件中定义。:作为集群的管理员,你有责任确保在集群中的每个节点上定义相同的用户。Elastic Stack 安全功能不提供任何机制来保证这一点。你还应该知道,你不能通过在文件域中添加或管理用户,也不能在//页面上的 Kibana 中添加或管理它们。文件域作为回退(fallback)或恢复(recovery)域非常有用。例如,在集群无响应或安全索引不可用的情况下,或者当你忘记管理用户的密码时。
ES添加用户名和密码
热门推荐
Baronstar的博客
09-01 1万+
数据安全很重要,ES数据上线必须加密码,告诉你怎么加用户和密码
关于ES安装的流程
wangjinbo_csdn的博客
06-10 467
使用ES从下载到启动使用的简单记录
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值