Opendistro Elasticsearch向匿名用户授予管理员级别的特权

时间:2019-03-28 17:45:17

标签: elasticsearch elasticsearch-opendistro

我正在尝试给匿名用户管理员级别特权,以写入Elasticsearch的Opendistro捆绑包上的某些索引。我已经使用http.anonymous_auth_enabled:true更新了config.yml,还对antonym_backendrole角色的role.yml进行了必要的更改。

但是我仍然收到此错误-

{ "error" : { "root_cause" : [ { "type" : "security_exception", "reason" : "no permissions for [cluster:monitor/health] and User [name=opendistro_security_anonymous, roles=[opendistro_security_anonymous_backendrole], requestedTenant=null]" } ], "type" : "security_exception", "reason" : "no permissions for [cluster:monitor/health] and User [name=opendistro_security_anonymous, roles=[opendistro_security_anonymous_backendrole], requestedTenant=null]" }, "status" : 403 }

在这里寻找是否有人可以提供使用Opendistro设置匿名身份验证的正确方法。

3 个答案:

答案 0 :(得分:3)

后端角色实际上只是“从外部服务器导入的角色”的一个混淆名称。在这种情况下,您可以忽略它们。

您需要一个“常规”角色,您可以在Kibana>“安全性”>“角色”中创建(或使用REST API)。只要确保它具有与现有管理员角色相同的群集和索引权限即可。我将其命名为anonymous-admin,并将其授予集群群集权限的UNLIMITED,并将其授予索引的*

然后转到“安全性”>“角色映射”>“添加新的角色映射”。选择您的anonymous-admin角色,将字符串opendistro_security_anonymous添加到“用户”字段,然后点击“提交”。

之前:

$ curl -XGET https://localhost:9200 -k
{"error":{"root_cause":[{"type":"security_exception","reason":"no permissions for [cluster:monitor/main] and User [name=opendistro_security_anonymous, roles=[opendistro_security_anonymous_backendrole], requestedTenant=null]"}],"type":"security_exception","reason":"no permissions for [cluster:monitor/main] and User [name=opendistro_security_anonymous, roles=[opendistro_security_anonymous_backendrole], requestedTenant=null]"},"status":403}

之后:

$ curl -XGET https://localhost:9200 -k
{
  "name" : "W8ehfvx",
  "cluster_name" : "odfe-cluster",
  "cluster_uuid" : "Uk67h4MkSL-U_48NJwjeRg",
  "version" : {
    "number" : "6.5.4",
    "build_flavor" : "oss",
    "build_type" : "tar",
    "build_hash" : "d2ef93d",
    "build_date" : "2018-12-17T21:17:40.758843Z",
    "build_snapshot" : false,
    "lucene_version" : "7.5.0",
    "minimum_wire_compatibility_version" : "5.6.0",
    "minimum_index_compatibility_version" : "5.0.0"
  },
  "tagline" : "You Know, for Search"
}

答案 1 :(得分:1)

无法获得@aetter提供的解决方案后。我在Github上找到了hardik-k-shah的帖子,下面有详细的指南。

https://github.com/opendistro-for-elasticsearch/security/issues/42

要启用匿名访问,您必须在config.yml和kibana.yml中启用匿名访问。您还必须为匿名访问创建一个角色,该角色具有相关权限(您的情况下对某些索引具有读取权限),并且为匿名用户创建相关角色映射。 始终将匿名请求分配给opendistro_security_anonymous作为用户名,并将opendistro_security_anonymous_backendrole分配给后端角色。

启用匿名访问的详细步骤:

1。在config.yml中启用匿名访问

opendistro_security:
    dynamic:
       http:
          anonymous_auth_enabled: false

2。创建具有所需权限的匿名角色。 (如果您想将角色设为只读,则可以通过kibana UI或通过更改role.yml文件来创建此角色) 例如:

opendistro_security_anonymous:
readonly: true
cluster:
  - CLUSTER_COMPOSITE_OPS_RO
indices:
  '*':
    '*':
      - READ

3。为opendistro_security_anonymous_backendrole角色创建角色映射。 (您可以通过kibana UI或更改role_mapping.yml文件来创建此角色映射)

opendistro_security_anonymous:
backend_roles:
  - opendistro_security_anonymous_backendrole

4。如果您的集群已经启动并正在运行,请使用securityadmin工具应用此配置更改。

5。更新kibana.yml以启用对kibana的匿名访问。您必须重新启动kibana流程才能应用此更改。

opendistro_security.auth.anonymous_auth_enabled: true

答案 2 :(得分:0)

我只想匿名访问健康检查 一些额外的注释可能会有所帮助

将anonymous_auth_enabled 设置为true 需要在: /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/config.yml

opendistro_security:
    dynamic:
       http:
          anonymous_auth_enabled: true

角色现在需要查看: /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/roles.yml

# allow anonymous access to /cluster
opendistro_security_anonymous:
  reserved: true
  cluster_permissions:
    - 'cluster_monitor'

角色映射如下所述: /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/roles_mapping.yml

opendistro_security_anonymous:
  reserved: true
  backend_roles:
    - "opendistro_security_anonymous_backendrole"

我很想知道为什么角色映射中的角色与定义的新角色不匹配,但现在它正在工作,我不会为此失眠。

我想如果您对此感兴趣,您已经在以下位置启用了安全性: /usr/share/elasticsearch/config/elasticsearch.yml

opendistro_security.disabled: false