ElasticSearchTransportClient集成SearchGuard插件实现索引级别的权限管控

最新推荐文章于 2022-12-16 15:06:15 发布
最新推荐文章于 2022-12-16 15:06:15 发布
阅读量1.1k 收藏 4
点赞数 1
分类专栏: ElasticSearch 文章标签: ElasticSearch SearchGuard 大数据 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tzq_Engineer/article/details/87917219
版权

ElasticSearchTransportClient集成SearchGuard插件实现索引级别的权限管控

由于官方的X-pack收费,所以退而求其次选择了SearchGuard作为ElasticSearch集群的安全权限管控组件。如果已经按照官网标准为ElasticSearch每个节点都安装好了SearchGuard插件

	集群环境:
		三台ElasticSearch节点版本5.4.3;
		SearchGuard5;

本文主要提供一种基于pem证书和key密码进行TransportClient认证,从而达到和后端用户实现映射的方法。

我们其实都知道路径{ElasticSearch路径}/plugins/search-guard-5/sgconfig 中的各个配置文件的作用,但是并不知道如何将这种纯后端形式的user转换成证书的权限:

这里面涉及到了一个内部后端用户和证书的映射问题

如果是admin证书那将会有所有权限,分配出去权限设置如同虚设,如果是非admin证书,只是普通的客户端证书操作时会报错“没有该用户”;我们就可以按照这个错误去解决问题了,这个用户其实指的就是内部后端的用户,用户名就是最开始使用ssl工具刷新时使用的tlsconfig.yml中的 dn的值

主要是tlsconfig.yml中的client标签下的配置:

clients:
 - name: spock
dn: CN=spock.zglt.com,OU=Ops,O=Client,DC=example,DC=com
admin: true
- name: kirk
dn: CN=kirk.zglt.com,OU=Ops,O=Client,DC=example,DC=com
admin: true
- name: client
dn: CN=client.zglt.com,OU=Ops,O=Client,DC=example,DC=com

这其中的spock和kirk的证书就是admin的用户证书,可以以admin用户的权限对集群进行操作;client就是我们预留出来的访问客户端证书“CN=client.zglt.com,OU=Ops,O=Client,DC=example,DC=com”就是该证书的用户名;

注:最开始在设置dn值得时候不要有空格,字数多点没关系,千万别有空格

将该用户设置在后端系统中的sg_internal_users.yml配置文件注册成用户,生产散列密码
散列密码使用tools文件夹下的hash.sh 执行 sh hash.sh -p ”密码“ 生成
散列密码使用tools文件夹下的hash.sh 执行 sh hash.sh -p ”密码“ 生成

sg_roles_mapping.yml中为该用户分配角色映射:
在这里插入图片描述
sg_roles.yml中配置该角色的权限:
在这里插入图片描述
该角色的权限是对授予执行多个请求(如mget,msearch或mtv)的只读权限但也授予批量写入权限和所有别名权限,对索引company下的所有type具有READ(授予读取权限,如获取,获取或获取字段映射以及搜索权限)权限。

下面开始贴代码:

public class GetClient {

    public TransportClient transportClient() throws UnknownHostException {
        // 一定要注意,9300为elasticsearch的tcp端口
        InetSocketTransportAddress master = new InetSocketTransportAddress(InetAddress.getByName("hop-0"), 9300);
        InetSocketTransportAddress node1 = new InetSocketTransportAddress(InetAddress.getByName("hop-1"), 9300);
        InetSocketTransportAddress node2 = new InetSocketTransportAddress(InetAddress.getByName("hop-2"), 9300);
        
        // 集群名称
        Settings settings = Settings.builder()
                .put(SSLConfigConstants.SEARCHGUARD_SSL_TRANSPORT_PEMKEY_FILEPATH, System.getProperty("user.dir")+"/src/main/resources/ssl/client.key")
                .put(SSLConfigConstants.SEARCHGUARD_SSL_TRANSPORT_PEMCERT_FILEPATH, System.getProperty("user.dir")+"/src/main/resources/ssl/client.pem")
                .put(SSLConfigConstants.SEARCHGUARD_SSL_TRANSPORT_PEMTRUSTEDCAS_FILEPATH, System.getProperty("user.dir")+"/src/main/resources/ssl/root-ca.pem")
                .put(SSLConfigConstants.SEARCHGUARD_SSL_TRANSPORT_PEMKEY_PASSWORD, "dWHPUGUvBtr3")
//                .put(SSLConfigConstants.SEARCHGUARD_SSL_TRANSPORT_PEMKEY_PASSWORD, "Ne0Vxrj6YZk2")
                .put(SSLConfigConstants.SEARCHGUARD_SSL_TRANSPORT_ENFORCE_HOSTNAME_VERIFICATION, false)
//                .put(SSLConfigConstants.SEARCHGUARD_SSL_HTTP_ENABLED, true)
//                .put("searchguard.ssl.transport.enforce_hostname_verification", false)
                .put("client.transport.sniff",false)
                .put("cluster.name","ES-cluster" ).build();
        TransportClient client = new PreBuiltTransportClient(settings, SearchGuardSSLPlugin.class);
        // 添加
        client.addTransportAddresses(master, node1, node2);
//        client.threadPool().getThreadContext().addResponseHeader("Authorization", "Basic "+ Base64.encodeBase64("admin:admin".getBytes()));

        return client;
    }

}

下面还是代码…

public class PrintClient {

    public static void main(String[] args) throws  Exception{

        GetClient getClient = new GetClient();

        TransportClient transportClient = getClient.transportClient();

        SearchRequestBuilder srb = transportClient.prepareSearch("logaudit_servicetransfer_real");
        SearchResponse searchResponse = srb.setQuery(QueryBuilders.matchAllQuery()).execute().actionGet();

        SearchHits hits=searchResponse.getHits();
        for(SearchHit hit:hits){
            System.out.println(hit.getSourceAsString());
        }
    }
}

下面是一些证书的路径:
在这里插入图片描述
到这里就完成了一个权限的简单配置,使用client的pem和key就只能读到company索引的数据。至于其他的权限组合配置就要大家自己去探索了。
建议生产中保留两个admin证书,多生成几个client证书用于多方操作数据。

tzq_Engineer
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SearchGuard控制ElasticSearch集群访问权限——ElasticSearch-6.5.4
Jinghua_Guo的博客
07-26 1254
众所周知,ElasticSearch设计之初就定位在纯私网环境而不做权限和安全控制呢。ElasticSearch如果设置不当,则存在较为严重的安全风险!有两种访问ElasticSearch的方式:使用默认端口为9300的TCP模式和使用默认端口为9200的HTTP模式。然而在同ElasticSearch服务器进行通信的过程中,通信流量是明文形式的,没有加密;更为严重的是,如果不做任何防护措施地将ElasticSearch暴露在公网上,那么对它的访问将没有任何安全认证,任何连接到服务器端口上的人,都可以调用相
spring-data-elasticsearch集成search Guard
jerryJavaCoding的博客
12-09 1056
近期项目中接入elasticsearch,供管理台大表的数据模糊查询,在原有spring项目中引入spring-data-elasticsearch,以及使用searchGuard进行鉴权 版本 spring-data-es与使用的es版本有直接关系,这里找到响应的spring-data-es版本。注意spring-data-es依赖包中包含spring的相关框架,如果与原有系统的冲突需要兼容 ...
Elasticsearch with Search-Guard定时删除旧索引
Remoa的休闲茶馆
09-15 3622
1、JAVA源码及pom文件: 2、具体测试:
ElasticSearch集成SearchGuard配置和实现TransportCient链接
02-28
ElasticSearch5集成SearchGuard5插件实现索引级别权限控制;含有证书生成配置文件,elasticSearch.yml配置文件,角色配置映射等全套的配置文件,只需按照自己的集群环境修改部分参数即可;配有java实现TransportClient链接集群,证书实现权限控制的实例
ElasticSearch学习(二)客户端TransportClient简单检索
lovelichao12的专栏
05-23 1127
1、添加依赖 <dependency> <groupId>org.elasticsearch</groupId> <artifactId>elasticsearch</artifactId> <version>5.5.2</vers...
elasticsearch索引插件
03-04
elasticsearch索引安装后所需的网页插件,plugin-head插件,安装下载即可
InDesignCC2021 中文索引插件
05-09
根据字符样式自动生成索引,支持四级中文索引
django使用haystack调用Elasticsearch实现索引搜索
01-21
在做一个商城项目的时候,需要实现商品搜索功能。 说到搜索,第一时间想到的是数据库的 select * from tb_sku where name like %苹果手机% 或者django的 SKU.objects.filter(name__contains=”苹果手机”) 但是,...
es java client_es java client 教程
weixin_29230059的博客
02-19 350
import java.net.InetAddress;import java.util.ArrayList;import org.apache.log4j.Logger;import org.elasticsearch.action.search.SearchResponse;import org.elasticsearch.client.transport.TransportClient;im...
elasticsearch(五)调用TransportClient查询数据
hu582205的博客
12-07 8215
调用client查询数据,使用SearchRequest对象处理操作 ,使用的建造者Builder模式添加插叙条件: SearchRequest searchRequest = new SearchRequest(index); searchRequest.types(type); searchRequest.source(sourceBuilder); SearchResponse resp...
Elasticsearch5.5.1 JAVA客户端TransportClient示例
09-05
Elasticsearch5.5.1 JAVA客户端TransportClient相关的示例,包含CRUD,bulk,相关介绍请参考:http://blog.csdn.net/u011781521/article/details/77848489
elasticsearch7.4报错failed to load plugin class [org.elasticsearch.xpack.core.XPackPlugin elastic-cert...
reblue520的专栏
08-07 6773
elasticsearch7.4报错failed to load plugin class [org.elasticsearch.xpack.core.XPackPlugin elastic-certificates.p12 is blocked的问题解决 Java HotSpot(TM) 64-Bit Server VM warning: Option UseConcMarkSw...
Elasticsearch:基于文件的用户认证
Elastic 中国社区官方博客
12-16 2491
你可以使用内置文件域(file realm)管理和验证用户。使用文件域,用户在集群中每个节点上的本地文件中定义。:作为集群的管理员,你有责任确保在集群中的每个节点上定义相同的用户。Elastic Stack 安全功能不提供任何机制来保证这一点。你还应该知道,你不能通过在文件域中添加或管理用户,也不能在//页面上的 Kibana 中添加或管理它们。文件域作为回退(fallback)或恢复(recovery)域非常有用。例如,在集群无响应或安全索引不可用的情况下,或者当你忘记管理用户的密码时。
项目启动 报Failed to load plugin class
weberhuangxingbo的博客
05-14 3862
项目启动报错: Caused by: ElasticsearchException[Unable to read /home/tomcat-vcompass-dev/bin/config/home/tomcat-vcompass-dev/webapps/domp/WEB-INF/classes/config/develop-keystore.jks (/home/tomcat-vcompa...
SpringBoot集成Elasticsearch,SSL证书认证
weixin_43808804的博客
02-07 3750
1.Pom文件配置 <properties> <elasticsearch.version>6.3.1</elasticsearch.version> </properties> <!--ES--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>s
jest java_使用JestClient操作ElasticSearch的简单demo
weixin_39638801的博客
02-17 160
elasticsearch rest api 学习记录elasticsearch版本:1.4.1学习记录学习的博客社区集群健康查看epoch timestamp cluster status node.total node.data shards pri relo init unassign pending_tasks1441940569 11:02:49 elastics...
Elasticsearch 2.4.6 集成安全认证 SearchGuardjava 配置 springboot
TangHao_0226的博客
05-31 1578
简介: 1.elasticsearch版本:2.4.6 2.searchguard版本: 2.4.6 3.java项目:springboot 1.5.10 正文: 一. elasticsearch 集成 searchguard 参考: 二. java配置步骤 1.将ssl证书导入java项目下: 2. pom 添加maven依赖 <dependency> <group...
elasticsearch使用search-guard访问控制安全加固
奋斗鹿
09-11 6605
文章目录1、官网下载对应版本的search-guard2、安装插件3、下载证书地址4、解压5、修改elasticsearch.yml6、访问7、如何修改admin默认密码7.1、首先使用默认hash工具,生成hash串7.2、新密码生效8、使用searchbox获取jestclient的方式(basic的方式连接es) 本文使用离线下载的方式安装search-guard,也可以使用在线安装,具体参...
ElasticSearch重启shard恢复过慢,集群状态一直恢复不了Green,影响权限刷新和数据使用
tzq_Engineer的博客
07-17 2466
这个问题困扰我们很久,各种原因需要重启集群的时候需要等待很长时间,总要在休息时间做重启。 后来发现ElasticSearch中支持几个参数配置附上官网地址 gateway.expected_nodes gateway.expected_master_nodes gateway.expected_data_nodes gateway.recover_after_time gateway.r...
使用Flink实现索引数据到Elasticsearch
最新发布
08-14
### 回答1: 要使用Flink将数据索引Elasticsearch,你需要使用Flink的...总之,通过Flink实现索引数据到Elasticsearch是一种快速、简单且高效的方法,可以帮助我们充分利用实时流数据并实时索引Elasticsearch中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值