SearchGuard权限配置

主要配置文件

searchguard 主要有5个配置文件，在plugins/search-guard-2/sgconfig 下：
1、sg_config.yml：主配置文件不需要做改动。
2、sg_internal_users.yml：本地用户文件，定义用户密码以及对应的权限。
3、sg_roles.yml：权限配置文件
4、sg_roles_mapping.yml:定义用户的映射关系
5、sg_action_groups.yml：定义权限

使用sgadmin配置SearchGuard

Searchguard配置(包括用户、权限与角色)是存储在Elasticsearch集群的索引中的。这允许配置热加载，更新配置后不需要重启Elasticsearch节点，并且不需要在每个节点上放置配置文件。
使用sgadmin工具将配置文件中的配置信息加载到searchguard配置索引中。sgadmin需要通过管理员证书来执行命令。管理员证书授予对集群的完全访问权限，包括更改Search Guard配置索引。
需要在elasticsearch.yml中配置管理员证书DN，如：

searchguard.authcz.admin_dn:
  - CN=kirk,OU=client,O=client,L=test, C=DE
  - CN=spock,OU=client,O=client,L=test, C=DE

注意：不要使用节点证书作为管理员证书，不然可能导致意外的结果。
使用命令如下：

./sgadmin.sh -ts  -tspass   \
  -ks  -kspass   \
  -cd ../sgconfig -icl -nhnv

这样将sgconfig目录中的所有配置信息推送到集群。由于生成密钥库和信任库具有默认密码changeit，所以我们可以省略-kspass并-tspass。
让配置立即生效
searchguard默认将通过身份认证的用户、角色及权限缓存一个小时，若更新配置后想立即生效，可使用如下命令：

./sgadmin.sh -rl -ts ... -tspass ... -ks ... -kspass ...

命令行详细参数请参考：http://floragunncom.github.io/search-guard-docs/sgadmin.html

配置认证和授权

searchguard配有可插拔的认证和授权模块。根据用例和基础架构，您可以使用一个或多个身份验证和授权模块，如：
Search Guard内部用户数据库
LDAP和Active Directory
Kerberos
JSON Web令牌
代理验证
认证和授权模块的主要配置文件是sg_config.yml。详细配置请参考：http://floragunncom.github.io/search-guard-docs/configuration_auth.html

配置内部用户与角色

searchguard配置有内部用户数据库。如果我们没有任何外部认证系统（如LDAP或Active Directory），则可以使用此用户数据库。用户、密码hash和角色等存储在集群内部searchguard配置索引中。内部用户配置文件为：sg_internal_users.yml
语法如下：

:
  hash: 
  roles:
    - 
    - 

如：

admin:
  hash: $2a$12$xZOcnwYPYQ3zIadnlQIJ0eNhX1ngwMkTN.oMwkKxoGvDVPn4/6XtO
  roles:
    - readall
    - writeall

analyst:
  hash: $2a$12$ae4ycwzwvLtZxwZ82RmiEunBbIPiAmGZduBAjKN0TXdwQFtCwARz2
  roles:
    - readall

请注意，用户名不能包含“.”，如果需要带“.”的用户名，请使用如下username属性：

:
  username: username.with.dots
  hash: ...

使用plugins/search-guard-5/tools/hash.sh生成密码hash值，格式如下：

./hash.sh -p passwd

实例：

[root@localhost tools]$ ./hash.sh -p 123456
$2a$12$BUflGkOD5bpHePu1uTTTh.wXYJ8fLRku05zFqDHdglNgqekNWITK2

详细参考：http://floragunncom.github.io/search-guard-docs/configuration_internalusers.html

将用户、后端角色与主机映射到searchguard角色

根据配置，可以使用以下数据将请求分配给一个或多个searchguard角色：
username
已验证用户的名称
backend roles
由授权后端（如LDAP，JWT或内部用户数据库）获取的角色
hostname / IP
请求源自的主机名或IP
Common name
发送的客户端证书DN
配置文件为sg_roles_mapping.yml，配置格式如下：

:
  users:
    - 
    - ...
  backendroles:
    - 
    - ...
  hosts:
    - 
    - ...

实例：

sg_read_write:
  users:
    - janedoe
    - johndoe
  backendroles:
    - management
    - operations
    - 'cn=ldaprole,ou=groups,dc=example,dc=com'
  hosts:
    - "*.devops.company.com"

一个请求可以分配给一个或多个Search Guard角色。如果一个请求被映射到多个角色，这些角色的权限被组合。

角色与权限

searchguard角色与权限在sg_roles.xml文件中定义。我们可以根据需要定义角色，并将权限与其关联，格式如下：

:
  cluster:
    - ''
    - ...
  indices:
    '':
      '':  
        - ''
        - ...
      '':  
        - ''
        - ...
      _dls_: ''
      _fls_:
        - ''
        - ...
    tenants:
      : 
      :    

dls与fls用于配置文档和字段级别权限，详情参考：http://floragunncom.github.io/search-guard-docs/dlsfls.html
tenants用于配置Kibana多租户模式，详情参考：http://floragunncom.github.io/search-guard-docs/multitenancy.html
集群级权限
cluster用于定义集群级权限。集群级权限用于允许/不允许影响整个集群的操作，例如查询集群运行状况或节点统计信息。它也可以用来允许/禁用影响多个索引的操作，如mget、msearch、bulk请求。
实例：

sg_finance:
  cluster:
    - CLUSTER_COMPOSITE_OPS_RO
  indices:
    ...

索引级权限
indices项用于设置允许/不允许单个索引的操作。也可以分别为索引中的每个文档类型定义权限。
配置索引名称与文档类型名称时都支持通配符的形式：

1. 星号(*)将匹配任意字符序列，包括空序列，如：logstash-*将匹配logstash-20170822、logstash-等
2. 问号(?)将匹配任何单个字符(但不是空字符)，如：?kibana将匹配.kibana
3. 正则表达式，格式'//'，如：'/ \ S * /'将匹配任何非空格字符
   注意：索引名称不能包含点。而是使用?通配符，如同?kibana。
   实例：

sg_kibana:
  cluster:
    - CLUSTER_COMPOSITE_OPS_RO    
  indices:
    '?kibana':
      '*':
        - INDICES_ALL

用户名替换
对于索引名及别名允许引用用户名${user_name},用户名为已认证用户用户名。实例：

sg_own_index:
  cluster:
    - CLUSTER_COMPOSITE_OPS
  indices:
    '${user_name}':
      '*':
        - INDICES_ALL

使用权限组分配权限
searchguard具有权限组的功能，且为给角色分配权限的首选方式。searchguard预定义了一批权限组，覆盖了绝大部分用例。实例：

myrole:
  cluster:
    - CLUSTER_COMPOSITE_OPS_RO    
  indices:
    'index1':
      '*':
        - SEARCH
    'index2':
      '*':
        - CRUD

使用单一权限
如果您需要应用更细粒度的权限模式，searchguard还支持为角色分配单个权限。
单一权限以cluster:或indices:开始，后跟REST风格的路径，进一步定义权限授权访问的确切操作。
例如，此权限将授予在索引上执行搜索的权限：

indices:data/read/search

如下限授予写入索引的权限：

indices:data/write/index

如下在集群上授予显示集群运行状况的权限：

cluster:monitor/health

单一权限也支持通配符，如下授予索引上所有管理操作权限：

indices:admin/*

Elasticsearch详细权限定义请参考：https://www.elastic.co/guide/en/shield/2.1/reference.html#ref-actions-list
预定义角色请参考：http://floragunncom.github.io/search-guard-docs/configuration_roles_permissions.html

使用与定义权限组

一个权限组是一个具有明确命名的权限集合，在文件sg_action_group.xml中定义。权限组可以嵌套定义。格式如下：

:
    - ''
    - ''
    - ...

预定义权限组请参考：http://floragunncom.github.io/search-guard-docs/configuration_action_groups.html