3

我已经为 Elasticsearch 5 安装了 Search Guard,并且仅通过以 CN 作为用户名的客户端证书配置身份验证。

      clientcert_auth_domain:
        enabled: false
        order: 2
        http_authenticator:
          type: clientcert
          config:
            username_attribute: cn #optional, if omitted DN becomes username
          challenge: false
        authentication_backend:
          type: noop

我还为 Kibana 安装了 Search Guard 插件。

如何配置 Search Guard for Kibana 使用客户端证书让用户登录?我在文档中只看到使用用户名密码或 LDAP 的选项: https ://github.com/floragunncom/search-guard-docs/blob/master/kibana.md

但我想使用 Search Guard for Elasticsearch 中配置的客户端证书。我没有看到任何配置选项也可以为 kibana 用户启用 clientcert 身份验证。

我仍然必须通过我应该插入用户名和密码的表单登录。

4

1 回答 1

3

Kibana 充当 Elasticsearch 的代理,默认情况下会丢弃原始 HTTP 调用中包含的大部分信息,包括包含您的客户端证书的 HTTP 标头字段。

但是,您可以在 kibana.yml 中显式地将 HTTP 标头列入白名单,因此您可以尝试将"X-Client-Cert"标头列入白名单,如下所示:

elasticsearch.requestHeadersWhitelist: [ "authorization", "X-Client-Cert" ]

免责声明:我为floragunn / Search Guard工作

于 2017-05-26T11:54:59.703 回答