ElasticSearchTransportClient集成SearchGuard插件实现索引级别的权限管控

最新推荐文章于 2023-12-10 14:33:58 发布
最新推荐文章于 2023-12-10 14:33:58 发布
阅读量1.2k 收藏 4
点赞数 1
分类专栏: ElasticSearch 文章标签: ElasticSearch SearchGuard 大数据 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tzq_Engineer/article/details/87917219
版权

ElasticSearchTransportClient集成SearchGuard插件实现索引级别的权限管控

由于官方的X-pack收费,所以退而求其次选择了SearchGuard作为ElasticSearch集群的安全权限管控组件。如果已经按照官网标准为ElasticSearch每个节点都安装好了SearchGuard插件

	集群环境:
		三台ElasticSearch节点版本5.4.3;
		SearchGuard5;

本文主要提供一种基于pem证书和key密码进行TransportClient认证,从而达到和后端用户实现映射的方法。

我们其实都知道路径{ElasticSearch路径}/plugins/search-guard-5/sgconfig 中的各个配置文件的作用,但是并不知道如何将这种纯后端形式的user转换成证书的权限:

这里面涉及到了一个内部后端用户和证书的映射问题

如果是admin证书那将会有所有权限,分配出去权限设置如同虚设,如果是非admin证书,只是普通的客户端证书操作时会报错“没有该用户”;我们就可以按照这个错误去解决问题了,这个用户其实指的就是内部后端的用户,用户名就是最开始使用ssl工具刷新时使用的tlsconfig.yml中的 dn的值

主要是tlsconfig.yml中的client标签下的配置:

clients:
 - name: spock
dn: CN=spock.zglt.com,OU=Ops,O=Client,DC=example,DC=com
admin: true
- name: kirk
dn: CN=kirk.zglt.com,OU=Ops,O=Client,DC=example,DC=com
admin: true
- name: client
dn: CN=client.zglt.com,OU=Ops,O=Client,DC=example,DC=com

这其中的spock和kirk的证书就是admin的用户证书,可以以admin用户的权限对集群进行操作;client就是我们预留出来的访问客户端证书“CN=client.zglt.com,OU=Ops,O=Client,DC=example,DC=com”就是该证书的用户名;

注:最开始在设置dn值得时候不要有空格,字数多点没关系,千万别有空格

将该用户设置在后端系统中的sg_internal_users.yml配置文件注册成用户,生产散列密码
散列密码使用tools文件夹下的hash.sh 执行 sh hash.sh -p ”密码“ 生成
散列密码使用tools文件夹下的hash.sh 执行 sh hash.sh -p ”密码“ 生成

sg_roles_mapping.yml中为该用户分配角色映射:
在这里插入图片描述
sg_roles.yml中配置该角色的权限:
在这里插入图片描述
该角色的权限是对授予执行多个请求(如mget,msearch或mtv)的只读权限但也授予批量写入权限和所有别名权限,对索引company下的所有type具有READ(授予读取权限,如获取,获取或获取字段映射以及搜索权限)权限。

下面开始贴代码:

public class GetClient {

    public TransportClient transportClient() throws UnknownHostException {
        // 一定要注意,9300为elasticsearch的tcp端口
        InetSocketTransportAddress master = new InetSocketTransportAddress(InetAddress.getByName("hop-0"), 9300);
        InetSocketTransportAddress node1 = new InetSocketTransportAddress(InetAddress.getByName("hop-1"), 9300);
        InetSocketTransportAddress node2 = new InetSocketTransportAddress(InetAddress.getByName("hop-2"), 9300);
        
        // 集群名称
        Settings settings = Settings.builder()
                .put(SSLConfigConstants.SEARCHGUARD_SSL_TRANSPORT_PEMKEY_FILEPATH, System.getProperty("user.dir")+"/src/main/resources/ssl/client.key")
                .put(SSLConfigConstants.SEARCHGUARD_SSL_TRANSPORT_PEMCERT_FILEPATH, System.getProperty("user.dir")+"/src/main/resources/ssl/client.pem")
                .put(SSLConfigConstants.SEARCHGUARD_SSL_TRANSPORT_PEMTRUSTEDCAS_FILEPATH, System.getProperty("user.dir")+"/src/main/resources/ssl/root-ca.pem")
                .put(SSLConfigConstants.SEARCHGUARD_SSL_TRANSPORT_PEMKEY_PASSWORD, "dWHPUGUvBtr3")
//                .put(SSLConfigConstants.SEARCHGUARD_SSL_TRANSPORT_PEMKEY_PASSWORD, "Ne0Vxrj6YZk2")
                .put(SSLConfigConstants.SEARCHGUARD_SSL_TRANSPORT_ENFORCE_HOSTNAME_VERIFICATION, false)
//                .put(SSLConfigConstants.SEARCHGUARD_SSL_HTTP_ENABLED, true)
//                .put("searchguard.ssl.transport.enforce_hostname_verification", false)
                .put("client.transport.sniff",false)
                .put("cluster.name","ES-cluster" ).build();
        TransportClient client = new PreBuiltTransportClient(settings, SearchGuardSSLPlugin.class);
        // 添加
        client.addTransportAddresses(master, node1, node2);
//        client.threadPool().getThreadContext().addResponseHeader("Authorization", "Basic "+ Base64.encodeBase64("admin:admin".getBytes()));

        return client;
    }

}

下面还是代码…

public class PrintClient {

    public static void main(String[] args) throws  Exception{

        GetClient getClient = new GetClient();

        TransportClient transportClient = getClient.transportClient();

        SearchRequestBuilder srb = transportClient.prepareSearch("logaudit_servicetransfer_real");
        SearchResponse searchResponse = srb.setQuery(QueryBuilders.matchAllQuery()).execute().actionGet();

        SearchHits hits=searchResponse.getHits();
        for(SearchHit hit:hits){
            System.out.println(hit.getSourceAsString());
        }
    }
}

下面是一些证书的路径:
在这里插入图片描述
到这里就完成了一个权限的简单配置,使用client的pem和key就只能读到company索引的数据。至于其他的权限组合配置就要大家自己去探索了。
建议生产中保留两个admin证书,多生成几个client证书用于多方操作数据。

tzq_Engineer
关注
专栏目录
springboot 实现elasticsearch索引数据迁移
congge
01-08 7344
springboot实现es数据迁移
mysql索引详解
热门推荐
学Java,找哪吒
07-07 10万+
MySQL的存储引擎架构将查询处理与数据的存储/提取相分离
ElasticSearch集成SearchGuard配置和实现TransportCient链接
02-28
ElasticSearch5集成SearchGuard5插件实现索引级别权限控制;含有证书生成配置文件,elasticSearch.yml配置文件,角色配置映射等全套的配置文件,只需按照自己的集群环境修改部分参数即可;配有java实现TransportClient链接集群,证书实现权限控制的实例
elasticsearch源码分析之Transport(五)
thomas0yang的专栏
08-29 6564
一、基本介绍 1.1概念介绍 transport模块是es通信的基础模块,在elasticsearch中用的很广泛,比如集群node之间的通信、数据的传输、transport client方式的数据发送等等,只要数和通信、数据传输相关的都离不开transport模块的作用。 transport模块分为LocalTransport和NettyTransport两种,在Transpo
elasticsearch源码之Transport
anti
08-30 931
elasticsearch源码之Transport es使用netty来实现client和server,netty的启动在NettyTransport.java中,在此类中使用ChannelPipeline初始化了ClientBootstrap和ServerBootstrap,关于channelpipline这边不再多介绍,是netty中的一项功能。es的每个节点既是一个client也是一个se...
elasticsearch(五)调用TransportClient查询数据
hu582205的博客
12-07 8309
调用client查询数据,使用SearchRequest对象处理操作 ,使用的建造者Builder模式添加插叙条件: SearchRequest searchRequest = new SearchRequest(index); searchRequest.types(type); searchRequest.source(sourceBuilder); SearchResponse resp...
ElasticSearch学习(二)客户端TransportClient简单检索
lovelichao12的专栏
05-23 1160
1、添加依赖 <dependency> <groupId>org.elasticsearch</groupId> <artifactId>elasticsearch</artifactId> <version>5.5.2</vers...
使用SearchGuardElasticSearch进行权限访问控制
SaySeaKing的博客
07-25 4307
安装SearchGuard插件 集群中每一台设备都需要安装 在线安装 在”http://mvnrepository.com/artifact/com.floragunn/search-guard-5“中查找相应版本。 Example(com.floragunn:search-guard-5:5.0.1-12) $ cd %ES_HOME% $ bin/elas...
SpringBoot集成Elasticsearch(已实现各种ES操作,上手即可用)
03-03
本实例涵盖ES中的各类操作,如索引操作、CRUD操作、批处理、结果排序、分页查询、检索查询、关键字查询、高亮显示、逻辑查询、过滤查询、分组查询等等。并且已经过生产环境验证,各位可放心使用。如有不对之处欢迎...
Elasticsearch】网络模块 transport
这个人很懒什么都没有~
02-08 882
集群通信TCP客户端处理器,会调用 openConnection() 建立连接,也就是调用前面的 Netty4Transport.initiateChannel() 定义的各个TCP处理器用于集群通信。TransportNodesInfoAction.execute() => 该类没有实现 execute(),会调用父类的 execute(),所以想要知道一个 TransportAction 子类的功能只需要关注他的 execute() 或者 doExecute() 方法即可。
Elasticsearch5.5.1 JAVA客户端TransportClient示例
09-05
Elasticsearch5.5.1 JAVA客户端TransportClient相关的示例,包含CRUD,bulk,相关介绍请参考:http://blog.csdn.net/u011781521/article/details/77848489
elasticsearch transport客户端查询
qq_41611829的博客
04-06 764
目录 ES常见查询及聚合的JAVA API (1)根据ID 进行单个查询 (2)分页查询所有记录 (3)根据多条件组合与查询 (4)多条件或查询 (5)范围查询 (6)包含查询 (7)专门按id进行的包含查询 (8)按通配符查询 (9)统计count (10)查询最大值 (11)统计总和 (12)平均数 (13)统计样本基本指标 (14)分组求各组数据 (15)多...
ElasticSearch】Es 源码之 TransportTransportService 源码解读
九师兄
05-05 610
1.概述 根据启动流程 【ElasticSearch】Es 启动流程源码分析 在Node初始化的时候将会初始化TransportService logger.info("初始化 Transport "); final Transport transport = networkModule.getTransportSupplier().get(); Set<String> taskHeaders = Stream.concat( pluginsService.filterPlug
Elasticsearch 客户端transport vs rest
weixin_33831673的博客
01-23 1463
Elasticsearch(ES)有两种连接方式:transport、rest。transport通过TCP方式访问ES(只支持java),rest方式通过http API 访问ES(没有语言限制)。 Transport 引入maven依赖 <dependency> <groupId>org.elasticsearch.client</groupId&gt...
elasticsearch(二)调用TransportClient新增
hu582205的博客
12-07 1370
参考前面的文章创建索引 使用springbean的方式获取client对象。 @Autowired private TransportClient client; 新增api操作示例: @Before public void prepare() { index = "database"; type = "table"; } /** * 新增一条数据 */...
Elasticsearch 源码解析与优化实战》第15章:Transport模块分析
chbxw
10-08 912
文章目录简介配置信息传输模块配置通用网络配置Transport 总体架构网络层1. 网络模块初始化2. Netty4Transport3. Netty4HttpServerTransport服务层1. 连接到节点2.发送请求3. 定义对Response的处理4. 定义对请求的处理REST解析和处理RPC实现RPC的注册和映射1. ActionModule类中的注册2. TransportService类中的注册根据Action获取处理类1. REST请求触发2. TcpTransport收到RPC请求思考与
Elasticsearch with Search-Guard定时删除旧索引
Remoa的休闲茶馆
09-15 3685
1、JAVA源码及pom文件: 2、具体测试:
1、ElasticSearch全文搜索引擎之transport客户端工具类
最新发布
weixin_42333817的博客
12-10 487
基于elasticsearch的客户端transport创建索引
ElasticeSearch用法(使用Transport操作ES服务器),增删改查和批量操作
12-29 1802
ElasticeSearch用法(使用Transport操作ES服务器),增删改查和批量操作 1、Lucene ​ 单独使用Lucene实现站内搜索需要开发的工作量较大,主要表现在:索引维护、索引性能优化、搜索性能优化等,因此不建议采用。 2、Solr ​ Solr 是Apache下的一个顶级开源项目,采用Java开发,它是基于Lucene的全文搜索服务器。Solr提供了比Lucene更为丰富的查询语言,同时实现了可配置、可扩展,并对索引、搜索性能进行了优化。 ​ Solr可以独立运行,运行在Tomca
Elasticsearch Attachment插件实现二进制文件全文检索
Attachment 插件Elasticsearch 的一个扩展插件,其主要功能是支持将各种二进制文件(如PDF、Word文档等)及其内容索引Elasticsearch 中,从而实现全文检索。 一、Attachment 插件的工作原理 Attachment 插件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值