ELKstack 中文指南
  • ELKstack 中文指南
  • Logstash
    • 入门示例
      • 下载安装
      • hello world
      • 配置语法
      • plugin的安装
      • 长期运行
    • 插件配置
      • input配置
        • file
        • stdin
        • syslog
        • tcp
      • codec配置
        • json
        • multiline
        • collectd
        • netflow
      • filter配置
        • date
        • grok
        • dissect
        • geoip
        • json
        • kv
        • metrics
        • mutate
        • ruby
        • split
        • elapsed
      • output配置
        • elasticsearch
        • email
        • exec
        • file
        • nagios
        • statsd
        • stdout
        • tcp
        • hdfs
    • 场景示例
      • nginx访问日志
      • nginx错误日志
      • postfix日志
      • ossec日志
      • windows系统日志
      • Java日志
      • MySQL慢查询日志
    • 性能与测试
      • generator方式
      • 监控方案
        • logstash-input-heartbeat方式
        • jmx启动参数方式
        • API方式
    • 扩展方案
      • 通过redis传输
      • 通过kafka传输
      • AIX 平台上的logstash-forwarder-java
      • rsyslog
      • nxlog
      • heka
      • fluent
      • Message::Passing
    • 源码解析
      • pipeline流程
      • Event的生成
    • 插件开发
      • utmp插件示例
  • Beats
    • filebeat
    • packetbeat网络流量分析
    • metricbeat
    • winlogbeat
  • ElasticSearch
    • 架构原理
      • segment、buffer和translog对实时性的影响
      • segment merge对写入性能的影响
      • routing和replica的读写过程
      • shard的allocate控制
      • 自动发现的配置
    • 接口使用示例
      • 增删改查操作
      • 搜索请求
      • Painless脚本
      • reindex接口
    • 性能优化
      • bulk提交
      • gateway配置
      • 集群状态维护
      • 缓存
      • fielddata
      • curator工具
      • profile接口
    • rally测试方案
    • 多集群互联
    • 别名的应用
    • 映射与模板的定制
    • puppet-elasticsearch模块的使用
    • 计划内停机升级的操作流程
    • 镜像备份
    • rollover和shrink
    • Ingest节点
    • Hadoop 集成
      • spark streaming交互
    • 权限管理
      • Shield
      • Search-Guard 在 Elasticsearch 2.x 上的运用
    • 监控方案
      • 监控相关接口
        • 集群健康状态
        • 节点状态
        • 索引状态
        • 任务管理
        • cat 接口的命令行使用
      • 日志记录
      • 实时bigdesk方案
      • cerebro
      • zabbix trapper方案
    • ES在运维监控领域的其他玩法
      • percolator接口
      • watcher报警
      • ElastAlert
      • 时序数据库
      • Grafana
      • juttle
      • Etsy的Kale异常检测
  • Kibana 5
    • 安装、配置和运行
    • 生产环境部署
    • discover功能
    • 各visualize功能
      • area
      • table
      • line
      • markdown
      • metric
      • pie
      • tile map
      • vertical bar
    • dashboard功能
    • timelion 介绍
    • console 介绍
    • setting功能
    • 常用sub agg示例
      • 函数堆栈链分析
      • 分图统计
      • TopN的时序趋势图
      • 响应时间的百分占比趋势图
      • 响应时间的概率分布在不同时段的相似度对比
    • 源码解析
      • .kibana索引的数据结构
      • 主页入口
      • discover解析
      • visualize解析
      • dashboard解析
    • 插件
      • 可视化开发示例
      • 后端开发示例
      • 完整app开发示例
    • Kibana报表
  • 竞品对比
  • 推荐阅读
  • 合作名单
  • 捐赠名单
Powered by GitBook
On this page
  • License管理策略
  • Shield架构
  • 用户认证:
  • 节点认证与通道加密:
  • 授权:
  • 审计:
  • 安装
  • 配置
  • ES 配置
  • 角色配置
  • 用户组与角色映射配置
  • 测试

Was this helpful?

  1. ElasticSearch
  2. 权限管理

Shield

本节作者:cameluo

Shield 是 Elastic 公司官方发布的权限管理产品。其主要特性包括:

  • 提供集群节点身份验证和集群数据访问身份验证

  • 提供基于身份角色的细粒度资源和行为访问控制,细到索引级别的读写控制

  • 提供节点间数据传输通道加密保护输出传输安全

  • 提供审计功能

  • 以插件的形式发布

License管理策略

Shield 是一款商业产品,不过提供 30 天免费试用,试用期间是全功能的。过期后集群会不再正常工作。

Shield架构

用户认证:

Shield 通过定义一套用户集合来认证用户,采用抽象的域方式定义用户集合,支持本地用户(esusers 域)和 LDAP 用户(含 AD)。

  • Shield 提供工具 ./bin/shield/esusers 用于创建和管理本地用户。

  • 集成 LDAP 认证支持映射 LDAP 安全组到 Shield 角色,LDAP 安全组与 Shield 角色可以是多对多的关系。

Shield 支持定义多个认证域,采用order字段进行优先级排序。如一个本地域 esusers,order=1,加一个 LDAP 域,order=2。如果用户不再本地用户域中则在 LDAP 域中查找验证。

  • ./config/shield/roles.yml 文件中定义角色和角色的所拥有的权限。

  • ./config/shield/group_to_role_mapping.yml 文件中定义 LDAP 组到角色映射关系。

节点认证与通道加密:

使用SSL/TLS证书进行相互认证和通讯加密。加密是可选配置。如果不使用,shield 节点之间可以进行简单的密码验证(明文传输)。

授权:

Shield 采用 RBAC 授权模型,数据模型包含如下元素:

  • 受保护资源(Secured Resource):控制用户访问的客体,包括 cluster、index/alias 等等。

  • 权能(Priviliege):用户可以对受保护资源执行的一种或多种操作,如 read, write 等。

  • 许可(Permissions):对被保护的资源拥有的一个或多个权能,如 read on the "products" index。

  • 角色(Role):命名的一组许可。

  • 用户(Users):用户实体,可以被赋予 0 个或多种角色,授权他们对被保护的资源执行各种权能。

审计:

增加认证尝试、授权失败等安全相关事件和活动日志。

安装

  1. 安装 License 和 Shield 插件

bin/plugin -i elasticsearch/license/latest
bin/plugin -i elasticsearch/shield/latest

注意:初次运行 Shield 需要重新启动 ES 集群。后续更新 License(license.json 为 License 文件)就可以在线运行:

# curl -XPUT -u admin 'http://127.0.0.1:9200/_licenses' -d @license.json
  1. 创建本地管理员:

./bin/shield/esusers useradd esadmin -r admin

配置

这里使用简单的配置先完成基本验证:使用纯本地用户认证或者使用本地认证 + 基本的 ldap 认证。

ES 配置

在elasticsearch.yml中增加如下配置:

hostname_verification: false
#shield.ssl.keystore.path:          /app/elasticsearch/node01.jks
#shield.ssl.keystore.password:      xxxxxx
shield:
  authc:
    realms:
      default:
        type: esusers
        order: 1
      ldaprealm:
        type: ldap
        order: 2
        url: "ldap://ldap.example.com:389"
        bind_dn: "uid=ldapuser, ou=users, o=services, dc=example, dc=com"
        bind_password: changeme
        user_search:
          base_dn: "dc=example,dc=com"
          attribute: uid
        group_search:
          base_dn: "dc=example,dc=com"
        files:
          role_mapping: "/app/elasticsearch/shield/group_to_role_mapping.yml"
        unmapped_groups_as_roles: false

角色配置

根据默认配置文件增减角色和访问控制权限。角色配置文件可以在线修改,保存后立即生效:

([INFO ][shield.authz.store ] [Winky Man] updated roles (roles file [/opt/elasticsearch/config/shield/roles.yml] changed))

注意:如果需要集成kibana认证,用户角色也需要有访问'.kibana'索引的访问权限和cluster:monitor/nodes/info的访问权限,具体参照kibana4角色中的定义,否则用户通过kibana认证后仍然无法访问到数据索引

用户组与角色映射配置

根据默认配置文件增减用户、用户组与角色配置中定义角色的映射关系,可以灵活实现各种需求。LDAP组仅支持安全组,不支持动态组。这个配置文件可以在线修改,保存后立即生效:

([INFO ][shield.authc.ldap.support] [Vishanti] role mappings file [/opt/elasticsearch/config/shield/group_to_role_mapping.yml] changed for realm [ldap/ldaprealm]. updating mappings...)

测试

curl -u username http://127.0.0.1:9200/

Previous权限管理NextSearch-Guard 在 Elasticsearch 2.x 上的运用

Last updated 5 years ago

Was this helpful?