SearchGuard权限配置

字数 1609阅读 4424

主要配置文件

searchguard 主要有5个配置文件,在plugins/search-guard-2/sgconfig 下:
1、sg_config.yml:主配置文件不需要做改动。
2、sg_internal_users.yml:本地用户文件,定义用户密码以及对应的权限。
3、sg_roles.yml:权限配置文件
4、sg_roles_mapping.yml:定义用户的映射关系
5、sg_action_groups.yml:定义权限

使用sgadmin配置SearchGuard

Searchguard配置(包括用户、权限与角色)是存储在Elasticsearch集群的索引中的。这允许配置热加载,更新配置后不需要重启Elasticsearch节点,并且不需要在每个节点上放置配置文件。
使用sgadmin工具将配置文件中的配置信息加载到searchguard配置索引中。sgadmin需要通过管理员证书来执行命令。管理员证书授予对集群的完全访问权限,包括更改Search Guard配置索引。
需要在elasticsearch.yml中配置管理员证书DN,如:

searchguard.authcz.admin_dn:
  - CN=kirk,OU=client,O=client,L=test, C=DE
  - CN=spock,OU=client,O=client,L=test, C=DE

注意:不要使用节点证书作为管理员证书,不然可能导致意外的结果。
使用命令如下:

./sgadmin.sh -ts <path/to/truststore> -tspass <truststore password>  \
  -ks <path/to/keystore> -kspass <keystore password>  \
  -cd ../sgconfig -icl -nhnv

这样将sgconfig目录中的所有配置信息推送到集群。由于生成密钥库和信任库具有默认密码changeit,所以我们可以省略-kspass并-tspass。
让配置立即生效
searchguard默认将通过身份认证的用户、角色及权限缓存一个小时,若更新配置后想立即生效,可使用如下命令:

./sgadmin.sh -rl -ts ... -tspass ... -ks ... -kspass ...

命令行详细参数请参考:http://floragunncom.github.io/search-guard-docs/sgadmin.html

配置认证和授权

searchguard配有可插拔的认证和授权模块。根据用例和基础架构,您可以使用一个或多个身份验证和授权模块,如:
Search Guard内部用户数据库
LDAP和Active Directory
Kerberos
JSON Web令牌
代理验证
认证和授权模块的主要配置文件是sg_config.yml。详细配置请参考:http://floragunncom.github.io/search-guard-docs/configuration_auth.html

配置内部用户与角色

searchguard配置有内部用户数据库。如果我们没有任何外部认证系统(如LDAP或Active Directory),则可以使用此用户数据库。用户、密码hash和角色等存储在集群内部searchguard配置索引中。内部用户配置文件为:sg_internal_users.yml
语法如下:

<username>:
  hash: <hashed password>
  roles:
    - <rolename>
    - <rolename>

如:

admin:
  hash: $2a$12$xZOcnwYPYQ3zIadnlQIJ0eNhX1ngwMkTN.oMwkKxoGvDVPn4/6XtO
  roles:
    - readall
    - writeall

analyst:
  hash: $2a$12$ae4ycwzwvLtZxwZ82RmiEunBbIPiAmGZduBAjKN0TXdwQFtCwARz2
  roles:
    - readall

请注意,用户名不能包含“.”,如果需要带“.”的用户名,请使用如下username属性:

<username>:
  username: username.with.dots
  hash: ...

使用plugins/search-guard-5/tools/hash.sh生成密码hash值,格式如下:

./hash.sh -p passwd

实例:

[root@localhost tools]$ ./hash.sh -p 123456
$2a$12$BUflGkOD5bpHePu1uTTTh.wXYJ8fLRku05zFqDHdglNgqekNWITK2

详细参考:http://floragunncom.github.io/search-guard-docs/configuration_internalusers.html

将用户、后端角色与主机映射到searchguard角色

根据配置,可以使用以下数据将请求分配给一个或多个searchguard角色:
username
已验证用户的名称
backend roles
由授权后端(如LDAP,JWT或内部用户数据库)获取的角色
hostname / IP
请求源自的主机名或IP
Common name
发送的客户端证书DN
配置文件为sg_roles_mapping.yml,配置格式如下:

<Search Guard role name>:
  users:
    - <username>
    - ...
  backendroles:
    - <rolename>
    - ...
  hosts:
    - <hostname>
    - ...

实例:

sg_read_write:
  users:
    - janedoe
    - johndoe
  backendroles:
    - management
    - operations
    - 'cn=ldaprole,ou=groups,dc=example,dc=com'
  hosts:
    - "*.devops.company.com"

一个请求可以分配给一个或多个Search Guard角色。如果一个请求被映射到多个角色,这些角色的权限被组合。

角色与权限

searchguard角色与权限在sg_roles.xml文件中定义。我们可以根据需要定义角色,并将权限与其关联,格式如下:

<sg_role_name>:
  cluster:
    - '<action group or single permission>'
    - ...
  indices:
    '<indexname or alias>':
      '<document type>':  
        - '<action group or single permission>'
        - ...
      '<document type>':  
        - '<action group or single permission>'
        - ...
      _dls_: '<Document level security query>'
      _fls_:
        - '<field level security fiels>'
        - ...
    tenants:
      <tenantname>: <RW|RO>
      <tenantname>: <RW|RO>   

dlsfls用于配置文档和字段级别权限,详情参考:http://floragunncom.github.io/search-guard-docs/dlsfls.html
tenants用于配置Kibana多租户模式,详情参考:http://floragunncom.github.io/search-guard-docs/multitenancy.html
集群级权限
cluster用于定义集群级权限。集群级权限用于允许/不允许影响整个集群的操作,例如查询集群运行状况或节点统计信息。它也可以用来允许/禁用影响多个索引的操作,如mget、msearch、bulk请求。
实例:

sg_finance:
  cluster:
    - CLUSTER_COMPOSITE_OPS_RO
  indices:
    ...

索引级权限
indices项用于设置允许/不允许单个索引的操作。也可以分别为索引中的每个文档类型定义权限。
配置索引名称与文档类型名称时都支持通配符的形式:

  1. 星号(*)将匹配任意字符序列,包括空序列,如:logstash-*将匹配logstash-20170822、logstash-等
  2. 问号(?)将匹配任何单个字符(但不是空字符),如:?kibana将匹配.kibana
  3. 正则表达式,格式'/<java regex>/',如:'/ \ S * /'将匹配任何非空格字符
    注意:索引名称不能包含点。而是使用?通配符,如同?kibana。
    实例:
sg_kibana:
  cluster:
    - CLUSTER_COMPOSITE_OPS_RO    
  indices:
    '?kibana':
      '*':
        - INDICES_ALL

用户名替换
对于索引名及别名<indexname or alias>允许引用用户名${user_name},用户名为已认证用户用户名。实例:

sg_own_index:
  cluster:
    - CLUSTER_COMPOSITE_OPS
  indices:
    '${user_name}':
      '*':
        - INDICES_ALL

使用权限组分配权限
searchguard具有权限组的功能,且为给角色分配权限的首选方式。searchguard预定义了一批权限组,覆盖了绝大部分用例。实例:

myrole:
  cluster:
    - CLUSTER_COMPOSITE_OPS_RO    
  indices:
    'index1':
      '*':
        - SEARCH
    'index2':
      '*':
        - CRUD

使用单一权限
如果您需要应用更细粒度的权限模式,searchguard还支持为角色分配单个权限。
单一权限以cluster:或indices:开始,后跟REST风格的路径,进一步定义权限授权访问的确切操作。
例如,此权限将授予在索引上执行搜索的权限:

indices:data/read/search

如下限授予写入索引的权限:

indices:data/write/index

如下在集群上授予显示集群运行状况的权限:

cluster:monitor/health

单一权限也支持通配符,如下授予索引上所有管理操作权限:

indices:admin/*

Elasticsearch详细权限定义请参考:https://www.elastic.co/guide/en/shield/2.1/reference.html#ref-actions-list
预定义角色请参考:http://floragunncom.github.io/search-guard-docs/configuration_roles_permissions.html

使用与定义权限组

一个权限组是一个具有明确命名的权限集合,在文件sg_action_group.xml中定义。权限组可以嵌套定义。格式如下:

<action group name>:
    - '<permission or action groups>'
    - '<permission or action group>'
    - ...

预定义权限组请参考:http://floragunncom.github.io/search-guard-docs/configuration_action_groups.html

推荐阅读更多精彩内容