ES鉴权设计以及相关探讨

于 2024-02-07 00:04:11 发布
阅读量1.5k 收藏 21
点赞数 26
分类专栏: Es 分布式 大数据 文章标签: elasticsearch linux 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43845924/article/details/136063887
版权
分布式 同时被 3 个专栏收录
42 篇文章 1 订阅
订阅专栏
大数据
33 篇文章 1 订阅
订阅专栏
Es
6 篇文章 0 订阅
订阅专栏

文章目录

鉴权,分别由组成

  • : 表示身份认证,认证相关用户是否存在以及相关的用户名和密码是否一致
  • : 完成身份的后,还需要判断用户是否有相关操作的权限。

因此对于某一个用户来说,通常情况下,需要完成才能够满足一个完整的业务场景,因此通常将鉴权放在一起考量。本文探讨es的鉴权常用的鉴权方式以及相关鉴权设计方式。

1. es的鉴权设计

es通常不需要进行鉴权设计,但是由于一些项目的安全性要求,会进行要求鉴权配置

: 身份认证

身份的认证有4种方式:

  • SASL/GSSAPI:kerberos认证方式,一般使用随机密码的keytab认证方式,密码是加密的,也是企业里使用最多的认证方式,在0.9版本引入;
  • SASL/PLAIN:这种方式其实就是一个账号/密码的认证方式,不过它有很多缺陷,比如用户名密码是存储在文件中,不能动态添加,密码明文等等!这些特性决定了它比较鸡肋,但好处是足够简单,这使得我们可以方便地对它进行二次开发,在0.10版本引入;
  • SASL/SCRAM:针对SASL/PLAIN方式的不足而提供的另一种认证方式。这种方式的用户名/密码是存储中zookeeper的,因此能够支持动态添加用户。该种认证方式还会使用sha256或sha512对密码加密,安全性相对会高一些,在0.10.2版本引入;
  • SASL/OAUTHBEARER:是基于OAuth 2.0的认证框架,实现较为复杂,目前业内应该较少使用,在2.0版本引入。

: 操作权限
5种操作权限:
CREATE、READ、WRITE、DELETE、ADMIN 也就是 增、删、改、查、管理权限,

注:这5种权限中,delete是指对子节点的删除权限,其它4种权限指对自身节点的操作权限。

2. es鉴权应用范围

es的鉴权范围,通常会包括2个层面

  • es之间的通信
  • 客户端跟es之间的通信

3. es鉴权的常用方法

  • 设置 Nginx 的反向代理
  • 安装免费的 Security 插件
  1. https://search-guard.com/
  2. https://github.com/sscarduzio/elasticsearch-readonlyrest-plugin
  • X-Pack 的 Basic 版(从 ES 6.8 & ES 7.0 开始,Security 纳入 x-pack 的 Basic 版本中,免费使用一些基本的功能 https://www.elastic.co/what-is/elastic-stack-security)

最常用的是X-Pack ,使用的是简单认证模式

3.1 认证体系

认证体系的几种类型

  • 提供用户名和密码
  • 提供秘钥或 Kerberos 票据
  • Realms : X-Pack 中的认证服务
  • 内置 Realms (免费): File / Native (用户名密码保存在 Elasticsearch)
  • 外部 Realms (收费): LDAP / Active Directory / PKI / SAML / Kerberos

3.2 x-pack认证

3.2.1 开启并配置 X-Pack 的认证与鉴权

  • 修改配置文件,打开认证于授权
bin/elasticsearch -E node.name=node0 -E cluster.name=geektime -E path.data=node0_data -E http.port=9200 -E xpack.security.enabled=true - E xpack.security.transport.ssl.enabled=true
  • 创建默认的用户和分组
bin/elasticsearch-passwords interactive
  • 当集群开启身份认证之后,配置 Kibana

3.2.2 默认用户和角色

用户角色
elasticSupper User
kibanaThe user that is used by Kibana to connect and communicate with Elasticsearch.
logstash_systemThe user that is used by Logstash when storing monitoring information in Elasticsearch.
beats_systemThe user that the different Beats use when storing monitoring information in Elasticsearch.
apm_systemThe user that the APM server uses when storing monitoring information in Elasticsearch.
Remote_monitoring_userThe user that is used by Metricbeat when collecting and storing monitoring information in Elasticsearch.

3.2.3 创建用户和角色

使用 Security API 创建用户

POST /_security/user/lsk
{
      "password": "password",
      "roles": ["admin"],
      "full_name": "Crazy Zard",
      "email":"541306829@qq.com",
      "metadata": {
        "intelligence":7
      }
}

3.2.4 通过用户名和密码访问es

使用用户名和密码查询es集群

curl -XGET -u user:pass -H 'Content-Type: application/json' 'http://localhost:9200/_cluster/health?pretty'

4. 参考文档

李姓门徒
关注
  • 26
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Elasticsearch 集群未授权访问使用ReadOnly REST插件修复(elasticsearch增加http鉴权
qq_31454379的博客
04-07 1187
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
application.properties配置大全
qq_56910237的博客
05-07 462
【代码】application.properties配置大全。
ES的两种认证登录方式: JAVA REST Client/HTTP Client
lukabruce的博客
12-14 2360
ES的两种认证登录方式: JAVA REST Client/HTTP Client。
ES 引入基础鉴权
weixin_40601534的博客
01-28 1202
背景 主搜几个集群发生过删库,继而引发大规模的数据修复重建,浪费了开发、运维同学的大量时间精力。为了能从访问上对人员的操作进行限制和记录,需要引入对ES集群进行权限校验的机制。 思路 开启ES本身的权限校验及相关配置 接入Ldap的权限校验体系 migrate所有应用中的ES链接创建方式 通过公用的cerebro和kibana对ES集群进行访问 实施路径 ES集群 在配置文件中开启包括集群SSL、安全性认证等在内的配置 需要通过统一的认证中心生成证书 根据需要设置不同权限的用户组 为每个既存应用
Elasticsearch7.x.x开启X-pack鉴权,按步骤执行就能成功!
m0_67392126的博客
08-16 1002
ElasticSearch是一个基于Lucene的分布式搜索和分析引擎。Elasticsearch能够以快速有效的方式对各种数据进行存储和索引。当前ES已经广泛应用于各个领域,包括应用程序搜索、网站搜索、企业搜索、日志处理和分析、基础设施指标和容器监测、应用程序性能监测、地理空间数据分析和可视化、安全分析、业务分析等。由于大部分ES没有增加安全策略,导致数据可能被别人随意访问。。所以我们使用ES的时候要注意数据安全问题。一般来说我们的ES如果运行在内网,相对来说是比较安全的。...
基于SpringBoot的Elasticsearch客户端调用封装工具设计源码
03-29
这是一个基于SpringBoot的Elasticsearch客户端调用封装工具设计,使用Java语言开发,包含42个文件。主要文件类型包括30个Java源文件、2个Properties文件、2个Markdown文档、1个gitignore文件、1个JAR文件、1个...
基于Java的Elasticsearch数据同步迁移工具设计源码
04-03
设计源码提供了一个基于Java的Elasticsearch数据同步迁移工具。...该工具支持不同Elasticsearch版本间的数据迁移同步,包括实时增量同步和全量同步,适合用于学习和实践Java技术,以及开发数据同步相关的系统。
基于Java的Elasticsearch搜索引擎ORM框架设计源码
04-05
本资源提供了一套基于Java的Elasticsearch搜索引擎ORM框架的设计源码,包含769个文件,其中包括321个JavaScript脚本文件,182个Markdown文档,以及157个Java源代码文件。此外,还包括44个HTML页面文件,33个PNG图片...
基于Java的elasticsearch视频教程配套Maven工程eshelloword设计源码
最新发布
05-23
eshelloword是一个基于Java编写的elasticsearch视频教程配套Maven工程,包含20个文件,其中9个Java源文件、5个XML...该项目提供了elasticsearch视频教程所需的maven工程,方便开发者学习和实践elasticsearch相关技术。
elasticsearch6.7开启鉴权
m0_37549390的博客
05-30 430
elasticsearch basic版默认x-pack模块security特性不可用,需要申请试用获得授权才可以试用security特性
Spark连接ES实现kerberos认证
dkjhl的博客
09-15 2370
Mechanism level: Server not found in Kerberos database (7) - LOOKING_UP_SERVER spark连接ES,kerberos认证 Missing required negotiation token Mechanism level: Request is a replay (34)
ES 鉴权添加密码
weixin_48617665的博客
12-09 806
elasticsearch 鉴权 添加密码
在docker容器中操作es,并给es7.6添加用户鉴权设置密码
qq_39753413的博客
02-08 4254
1、docker启动命令:docker-compose up -d 加上 -d 表示后台运行,只是docker-compose up则是在控制台运行,会不停的打印日志。 2、从容器中拷贝文件到宿主机:sudo docker cp es01:/usr/share/elasticsearch/elastic-certificates.p12 “/mnt/test-solit/es/es138” 官方格式为:docker cp [OPTIONS] CONTAINER:SRC_PATH DEST_PATH|
ES 认证
一条大河
11-15 3276
ES默认是不需要认证的,可以直接访问,但是这样不安全; 需要为其添加认证; 认证设置方式取自:Elasticsearch 7.8 开启用户名密码认证 - Kevin_zheng - 博客园 在elasticsearch.yml 末尾添加如下配置: # 配置X-Pack http.cors.enabled: true http.cors.allow-origin: "*" http.cors.allow-headers: Authorization xpack.security.enabled: tr
es用户认证与鉴权入门配置
epitomizelu的专栏
05-29 6536
https://www.jianshu.com/p/d021661c9b6a https://blog.csdn.net/fxtxz2/article/details/105707317/ https://www.mcabana.com/archives/2107.html xpack.security.enabled: true 一,在elasticsearch.yml文件中配置 xpack.security.enabled: true xpack.security.transport.ssl.enabl
低版本Elasticsearch安全性:配置Search Guard登录验证
yonggeit的博客
04-11 2811
文章目录kibana插件获取对应版本的插件包安装安装注意事项配置kibana.yml配置说明Elasticsearch插件插件认证流程获取对应版本的插件包安装search-guard for elasticsearch插件配置elasticsearch.yml禁用分片分配重启所有节点使用 sgadmin 重新启用分片分配通过使用 sgadmin 更新 Search Guard 配置来配置身份验证/...
elasticsearch shield 认证的两种方式(http/java api)
luckgl的博客
12-09 5654
安装shield第一步 install shield 1. bin/plugin install license 2. bin/plugin install shield第二步 restart elasticsearch 1. ps -ef | grep elastic 2. kill -9 xxxx 3. bin/elasticsearch第三步 add admin1. bin/shi
ES安全认证机制X-pack的安装及使用
zgxy666的博客
08-28 6232
1、给ES、Kibana安装x-pack ./bin/elasticsearch-plugin install x-pack ./bin/kibana-plugin install x-pack 2、修改密码(注意:这个只能修改一次密码,同一个集群的ES节点修改其中一个就行) ./bin/x-pack/setup-passwords interactive 修改密码时有三个用户分别为 usern...
elasticsearch8.2 http开启鉴权
07-20
您可以在Elasticsearch官方网站上了解有关Elasticsearch安全性扩展的更多信息,并获取相应的许可证。 一旦安装并配置了安全性扩展,您可以通过以下步骤来启用HTTP鉴权: 1. 在elasticsearch.yml配置文件中,设置...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值