ES鉴权设计以及相关探讨

鉴权，分别由鉴和权组成

• 鉴： 表示身份认证，认证相关用户是否存在以及相关的用户名和密码是否一致
• 权： 完成身份的鉴后，还需要判断用户是否有相关操作的权限。

因此对于某一个用户来说，通常情况下，需要完成鉴和权才能够满足一个完整的业务场景，因此通常将鉴权放在一起考量。本文探讨es的鉴权常用的鉴权方式以及相关鉴权设计方式。

---

1. es的鉴权设计

es通常不需要进行鉴权设计，但是由于一些项目的安全性要求，会进行要求鉴权配置

鉴： 身份认证

身份的认证有4种方式：

• SASL/GSSAPI：kerberos认证方式，一般使用随机密码的keytab认证方式，密码是加密的，也是企业里使用最多的认证方式，在0.9版本引入；
• SASL/PLAIN：这种方式其实就是一个账号/密码的认证方式，不过它有很多缺陷，比如用户名密码是存储在文件中，不能动态添加，密码明文等等！这些特性决定了它比较鸡肋，但好处是足够简单，这使得我们可以方便地对它进行二次开发，在0.10版本引入；
• SASL/SCRAM：针对SASL/PLAIN方式的不足而提供的另一种认证方式。这种方式的用户名/密码是存储中zookeeper的，因此能够支持动态添加用户。该种认证方式还会使用sha256或sha512对密码加密，安全性相对会高一些，在0.10.2版本引入；
• SASL/OAUTHBEARER：是基于OAuth 2.0的认证框架，实现较为复杂，目前业内应该较少使用，在2.0版本引入。

权： 操作权限
5种操作权限：
CREATE、READ、WRITE、DELETE、ADMIN 也就是 增、删、改、查、管理权限，

注：这5种权限中，delete是指对子节点的删除权限，其它4种权限指对自身节点的操作权限。

2. es鉴权应用范围

es的鉴权范围，通常会包括2个层面

• es之间的通信
• 客户端跟es之间的通信

3. es鉴权的常用方法

• 设置 Nginx 的反向代理
• 安装免费的 Security 插件

1. https://search-guard.com/
2. https://github.com/sscarduzio/elasticsearch-readonlyrest-plugin

• X-Pack 的 Basic 版(从 ES 6.8 & ES 7.0 开始，Security 纳入 x-pack 的 Basic 版本中，免费使用一些基本的功能 https://www.elastic.co/what-is/elastic-stack-security)

最常用的是X-Pack ,使用的是简单认证模式

3.1 认证体系

认证体系的几种类型

• 提供用户名和密码
• 提供秘钥或 Kerberos 票据
• Realms : X-Pack 中的认证服务
• 内置 Realms （免费）: File / Native (用户名密码保存在 Elasticsearch)
• 外部 Realms （收费）: LDAP / Active Directory / PKI / SAML / Kerberos

3.2 x-pack认证

3.2.1 开启并配置 X-Pack 的认证与鉴权

• 修改配置文件，打开认证于授权

bin/elasticsearch -E node.name=node0 -E cluster.name=geektime -E path.data=node0_data -E http.port=9200 -E xpack.security.enabled=true - E xpack.security.transport.ssl.enabled=true

• 创建默认的用户和分组

bin/elasticsearch-passwords interactive

• 当集群开启身份认证之后，配置 Kibana

3.2.2 默认用户和角色

用户	角色
elastic	Supper User
kibana	The user that is used by Kibana to connect and communicate with Elasticsearch.
logstash_system	The user that is used by Logstash when storing monitoring information in Elasticsearch.
beats_system	The user that the different Beats use when storing monitoring information in Elasticsearch.
apm_system	The user that the APM server uses when storing monitoring information in Elasticsearch.
Remote_monitoring_user	The user that is used by Metricbeat when collecting and storing monitoring information in Elasticsearch.

3.2.3 创建用户和角色

使用 Security API 创建用户

POST /_security/user/lsk
{
      "password": "password",
      "roles": ["admin"],
      "full_name": "Crazy Zard",
      "email":"[email protected]",
      "metadata": {
        "intelligence":7
      }
}

3.2.4 通过用户名和密码访问es

使用用户名和密码查询es集群

curl -XGET -u user:pass -H 'Content-Type: application/json' 'http://localhost:9200/_cluster/health?pretty'，

4. 参考文档

• es官网