当前位置: article > 正文

ES鉴权设计以及相关探讨

作者：小蓝xlanll | 2024-02-08 09:34:42

踩

ES鉴权设计以及相关探讨

文章目录

1. es的鉴权设计
2. es鉴权应用范围
3. es鉴权的常用方法
4. 参考文档

鉴权，分别由鉴和权组成

鉴：表示身份认证，认证相关用户是否存在以及相关的用户名和密码是否一致
权：完成身份的鉴后，还需要判断用户是否有相关操作的权限。

因此对于某一个用户来说，通常情况下，需要完成鉴和权才能够满足一个完整的业务场景，因此通常将鉴权放在一起考量。本文探讨es的鉴权常用的鉴权方式以及相关鉴权设计方式。

1. es的鉴权设计

es通常不需要进行鉴权设计，但是由于一些项目的安全性要求，会进行要求鉴权配置

鉴：身份认证

身份的认证有4种方式：

SASL/GSSAPI：kerberos认证方式，一般使用随机密码的keytab认证方式，密码是加密的，也是企业里使用最多的认证方式，在0.9版本引入；
SASL/PLAIN：这种方式其实就是一个账号/密码的认证方式，不过它有很多缺陷，比如用户名密码是存储在文件中，不能动态添加，密码明文等等！这些特性决定了它比较鸡肋，但好处是足够简单，这使得我们可以方便地对它进行二次开发，在0.10版本引入；
SASL/SCRAM：针对SASL/PLAIN方式的不足而提供的另一种认证方式。这种方式的用户名/密码是存储中zookeeper的，因此能够支持动态添加用户。该种认证方式还会使用sha256或sha512对密码加密，安全性相对会高一些，在0.10.2版本引入；
SASL/OAUTHBEARER：是基于OAuth 2.0的认证框架，实现较为复杂，目前业内应该较少使用，在2.0版本引入。

权：操作权限
5种操作权限：
CREATE、READ、WRITE、DELETE、ADMIN 也就是增、删、改、查、管理权限，

注：这5种权限中，delete是指对子节点的删除权限，其它4种权限指对自身节点的操作权限。

2. es鉴权应用范围

es的鉴权范围，通常会包括2个层面

es之间的通信
客户端跟es之间的通信

3. es鉴权的常用方法

设置 Nginx 的反向代理
安装免费的 Security 插件

https://search-guard.com/
https://github.com/sscarduzio/elasticsearch-readonlyrest-plugin

X-Pack 的 Basic 版(从 ES 6.8 & ES 7.0 开始，Security 纳入 x-pack 的 Basic 版本中，免费使用一些基本的功能 https://www.elastic.co/what-is/elastic-stack-security)

最常用的是X-Pack ,使用的是简单认证模式

3.1 认证体系

认证体系的几种类型

提供用户名和密码
提供秘钥或 Kerberos 票据
Realms : X-Pack 中的认证服务
内置 Realms （免费）: File / Native (用户名密码保存在 Elasticsearch)
外部 Realms （收费）: LDAP / Active Directory / PKI / SAML / Kerberos

3.2 x-pack认证

3.2.1 开启并配置 X-Pack 的认证与鉴权

修改配置文件，打开认证于授权

bin/elasticsearch -E node.name=node0 -E cluster.name=geektime -E path.data=node0_data -E http.port=9200 -E xpack.security.enabled=true - E xpack.security.transport.ssl.enabled=true
1

创建默认的用户和分组

bin/elasticsearch-passwords interactive
1

当集群开启身份认证之后，配置 Kibana

3.2.2 默认用户和角色

用户	角色
elastic	Supper User
kibana	The user that is used by Kibana to connect and communicate with Elasticsearch.
logstash_system	The user that is used by Logstash when storing monitoring information in Elasticsearch.
beats_system	The user that the different Beats use when storing monitoring information in Elasticsearch.
apm_system	The user that the APM server uses when storing monitoring information in Elasticsearch.
Remote_monitoring_user	The user that is used by Metricbeat when collecting and storing monitoring information in Elasticsearch.

3.2.3 创建用户和角色

使用 Security API 创建用户

POST /_security/user/lsk
{
      "password": "password",
      "roles": ["admin"],
      "full_name": "Crazy Zard",
      "email":"541306829@qq.com",
      "metadata": {
        "intelligence":7
      }
}
1
2
3
4
5
6
7
8
9
10

3.2.4 通过用户名和密码访问es

使用用户名和密码查询es集群

curl -XGET -u user:pass -H 'Content-Type: application/json' 'http://localhost:9200/_cluster/health?pretty'，
1

4. 参考文档

es官网

声明：本文内容由网友自发贡献，不代表【wpsshop博客】立场，版权归原作者所有，本站不承担相应法律责任。如您发现有侵权的内容，请联系我们。转载请注明出处：https://www.wpsshop.cn/w/小蓝xlanll/article/detail/67896