0

ELK 的基本用户名/密码身份验证,我能够在 Windows 平台上使用 searchguard 来实现。

Now i am trying to establish secure communication. I have performed the following changes,

在弹性搜索.yml

    searchguard.ssl.http.enabled: true
    searchguard.ssl.http.keystore_filepath: D:\Softwares\ELK\elasticsearch-5.4.0\elasticsearch-5.4.0\config\CN=localhost-keystore.jks
    searchguard.ssl.http.keystore_password: 221749a2add117cf889f
    searchguard.ssl.http.truststore_filepath: D:\Softwares\ELK\elasticsearch-5.4.0\elasticsearch-5.4.0\config\truststore.jks 
    searchguard.ssl.http.truststore_password: 6d6cf1cc017dc874960b 

    searchguard.authcz.admin_dn:                                
      - CN=sgadmin 

    searchguard.ssl.transport.keystore_filepath: D:\Softwares\ELK\elasticsearch-5.4.0\elasticsearch-5.4.0\config\CN=localhost-keystore.jks
    searchguard.ssl.transport.keystore_password: 221749a2add117cf889f 
    searchguard.ssl.transport.truststore_filepath: D:\Softwares\ELK\elasticsearch-5.4.0\elasticsearch-5.4.0\config\truststore.jks 
    searchguard.ssl.transport.truststore_password: 6d6cf1cc017dc874960b

在 Kibana.yml 中

elasticsearch.url: "https://localhost:9200"  
elasticsearch.username: "admin"  
elasticsearch.password: "admin"

如果我使用http://localhost:5601登录到 kibana,它会询问用户名和密码。我不知道在这里输入什么凭据。我试过管理员/管理员。它不工作。在我提供 searchguard.ssl.http.... 配置之前,admin/admin工作正常。

在我添加了所有 searchguard.ssl.http 相关配置后,credentails 不起作用。

我确信在 kibana.yml wrt searchguard 配置中还有其他一些配置。我无法在网上找到它。任何人都可以在这里帮助我了解缺少的内容。

4

1 回答 1

2

在 REST 层启用 TLS 对用户身份验证/授权没有任何影响。唯一的区别是:

  • 如果在 REST 层启用 TLS,则仅允许 HTTPS 访问。如果您尝试使用 HTTP 访问 ES,您将看到一条错误消息
  • 如果在 REST 层禁用 TLS,则仅允许 HTTP 访问。如果您尝试使用 HTTPS 访问 ES,您将看到一条错误消息。

Search Guard 将根据 sg_config.yml 中配置的身份验证后端对凭据进行身份验证。如果您使用 Search Guard 附带的默认配置,它将使用内部用户数据库和 internal_users.yml 中定义的用户。默认的“admin”用户拥有对所有索引和类型的完全访问权限,因此您应该能够使用该用户登录 Kibana。如果需要访问受限的用户,对应的演示用户是“kibanaro”。请参考 internal_users.yml 查看所有演示用户。

从 ES 5.0.2 开始,您需要安装 Search Guard Kibana 插件以获得完整的身份验证和会话支持。您可以在相应的GitHub 存储库中找到该插件。您可以像安装任何其他 Kibana 插件一样安装它,例如:

bin/kibana-plugin 安装https://github.com/floragunncom/search-guard-kibana-plugin/releases/download/v5.4.3-3/searchguard-kibana-5.4.3-3.zip

如果您不需要多租户或 JWT 单点登录等高级功能,它应该开箱即用。

如果这没有帮助,请在尝试登录时发布您的 Elasticsearch 日志文件的输出。

免责声明:我为Search Guard 的制造商floragunn工作。

于 2017-07-03T14:13:00.890 回答