ES鉴权设计以及相关探讨

文章目录

  • 1. es的鉴权设计
  • 2. es鉴权应用范围
  • 3. es鉴权的常用方法
    • 3.1 认证体系
    • 3.2 x-pack认证
      • 3.2.1 开启并配置 X-Pack 的认证与鉴权
      • 3.2.2 默认用户和角色
      • 3.2.3 创建用户和角色
      • 3.2.4 通过用户名和密码访问es
  • 4. 参考文档

鉴权,分别由组成

  • : 表示身份认证,认证相关用户是否存在以及相关的用户名和密码是否一致
  • : 完成身份的后,还需要判断用户是否有相关操作的权限。

因此对于某一个用户来说,通常情况下,需要完成才能够满足一个完整的业务场景,因此通常将鉴权放在一起考量。本文探讨es的鉴权常用的鉴权方式以及相关鉴权设计方式。


1. es的鉴权设计

es通常不需要进行鉴权设计,但是由于一些项目的安全性要求,会进行要求鉴权配置

: 身份认证

身份的认证有4种方式:

  • SASL/GSSAPI:kerberos认证方式,一般使用随机密码的keytab认证方式,密码是加密的,也是企业里使用最多的认证方式,在0.9版本引入;
  • SASL/PLAIN:这种方式其实就是一个账号/密码的认证方式,不过它有很多缺陷,比如用户名密码是存储在文件中,不能动态添加,密码明文等等!这些特性决定了它比较鸡肋,但好处是足够简单,这使得我们可以方便地对它进行二次开发,在0.10版本引入;
  • SASL/SCRAM:针对SASL/PLAIN方式的不足而提供的另一种认证方式。这种方式的用户名/密码是存储中zookeeper的,因此能够支持动态添加用户。该种认证方式还会使用sha256或sha512对密码加密,安全性相对会高一些,在0.10.2版本引入;
  • SASL/OAUTHBEARER:是基于OAuth 2.0的认证框架,实现较为复杂,目前业内应该较少使用,在2.0版本引入。

: 操作权限
5种操作权限:
CREATE、READ、WRITE、DELETE、ADMIN 也就是 增、删、改、查、管理权限,

注:这5种权限中,delete是指对子节点的删除权限,其它4种权限指对自身节点的操作权限。

2. es鉴权应用范围

es的鉴权范围,通常会包括2个层面

  • es之间的通信
  • 客户端跟es之间的通信

3. es鉴权的常用方法

  • 设置 Nginx 的反向代理
  • 安装免费的 Security 插件
  1. https://search-guard.com/
  2. https://github.com/sscarduzio/elasticsearch-readonlyrest-plugin
  • X-Pack 的 Basic 版(从 ES 6.8 & ES 7.0 开始,Security 纳入 x-pack 的 Basic 版本中,免费使用一些基本的功能 https://www.elastic.co/what-is/elastic-stack-security)

最常用的是X-Pack ,使用的是简单认证模式

3.1 认证体系

认证体系的几种类型

  • 提供用户名和密码
  • 提供秘钥或 Kerberos 票据
  • Realms : X-Pack 中的认证服务
  • 内置 Realms (免费): File / Native (用户名密码保存在 Elasticsearch)
  • 外部 Realms (收费): LDAP / Active Directory / PKI / SAML / Kerberos

3.2 x-pack认证

3.2.1 开启并配置 X-Pack 的认证与鉴权

  • 修改配置文件,打开认证于授权
bin/elasticsearch -E node.name=node0 -E cluster.name=geektime -E path.data=node0_data -E http.port=9200 -E xpack.security.enabled=true - E xpack.security.transport.ssl.enabled=true
  • 创建默认的用户和分组
bin/elasticsearch-passwords interactive
  • 当集群开启身份认证之后,配置 Kibana

3.2.2 默认用户和角色

用户 角色
elastic Supper User
kibana The user that is used by Kibana to connect and communicate with Elasticsearch.
logstash_system The user that is used by Logstash when storing monitoring information in Elasticsearch.
beats_system The user that the different Beats use when storing monitoring information in Elasticsearch.
apm_system The user that the APM server uses when storing monitoring information in Elasticsearch.
Remote_monitoring_user The user that is used by Metricbeat when collecting and storing monitoring information in Elasticsearch.

3.2.3 创建用户和角色

使用 Security API 创建用户

POST /_security/user/lsk
{
      "password": "password",
      "roles": ["admin"],
      "full_name": "Crazy Zard",
      "email":"[email protected]",
      "metadata": {
        "intelligence":7
      }
}

3.2.4 通过用户名和密码访问es

使用用户名和密码查询es集群

curl -XGET -u user:pass -H 'Content-Type: application/json' 'http://localhost:9200/_cluster/health?pretty'

4. 参考文档

  • es官网

你可能感兴趣的:(Es,分布式,大数据,elasticsearch,linux,大数据)