Отображение пользователей и групп на роли | Обзор эластичного стека [7.0] | Эластичный

  1. Использование файлов сопоставления ролей редактировать
  2. Детали, специфичные для царства редактировать
  3. Сферы PKI редактировать

Если вы аутентифицируете пользователей с собственной или файловой областями, вы можете управлять назначением ролей, используя API управления пользователями или пользователи инструмент командной строки соответственно.

Для других типов областей необходимо создать сопоставления ролей, которые определяют, какие роли следует назначать каждому пользователю на основе его имени пользователя, групп или других метаданных.

Вы можете определить ролевые отображения через API или управлять ими через файлы , Эти два источника сопоставления ролей объединены в функциях безопасности Elasticsearch, поэтому у одного пользователя могут быть некоторые роли, сопоставленные через API, и другие роли, сопоставленные через файлы.

Когда вы используете сопоставления ролей, вы назначаете существующие роли пользователям. Доступные роли должны быть добавлены с помощью API управления ролями или определяется в файл ролей , Любой метод сопоставления ролей может использовать любой метод управления ролями. Например, когда вы используете API сопоставления ролей, вы можете сопоставить пользователей как с ролями, управляемыми API, так и с ролями, управляемыми файлами (и аналогично для сопоставлений ролей на основе файлов).

Использование файлов сопоставления ролей редактировать

Чтобы использовать сопоставления ролей на основе файлов, необходимо настроить сопоставления в файле YAML и скопировать его на каждый узел в кластере. В этом могут помочь такие инструменты, как Puppet или Chef.

По умолчанию сопоставления ролей хранятся в ES_PATH_CONF / role_mapping.yml, где ES_PATH_CONF - это ES_HOME / config (установки zip / tar) или / etc /asticsearch (установки пакетов). Чтобы указать другое местоположение, вы настраиваете параметр files.role_mapping в Active Directory , LDAP , а также ИПК настройки области вasticsearch.yml.

В файле отображения ролей роли безопасности - это ключи и группы, а пользователи - значения. Отображения могут иметь отношение многие ко многим. Когда вы сопоставляете роли с группами, роли пользователя в этой группе представляют собой комбинацию ролей, назначенных этой группе, и ролей, назначенных этому пользователю.

По умолчанию Elasticsearch проверяет файлы сопоставления ролей на предмет изменений каждые 5 секунд. Вы можете изменить это поведение по умолчанию, изменив параметр resource.reload.interval.high в файлеasticsearch.yml. Поскольку это обычная настройка в Elasticsearch, изменение его значения может повлиять на другие расписания в системе.

Детали, специфичные для царства редактировать

Active Directory и области LDAP редактировать

Чтобы указать пользователей и группы в сопоставлениях ролей, используйте их отличительные имена (DN). DN - это строка, которая однозначно идентифицирует пользователя или группу, например, «cn = Джон Доу, cn = подрядчики, dc = пример, dc = com».

Функции безопасности Elasticsearch поддерживают только группы безопасности Active Directory. Вы не можете сопоставить группы рассылки с ролями.

Например, следующий фрагмент использует метод на основе файлов, чтобы сопоставить группу администраторов с ролью мониторинга и сопоставить пользователя John Doe, группу пользователей и группу администраторов с ролью пользователя.

Название роли.

Отличительное имя группы LDAP или группы безопасности Active Directory.

Отличительное имя пользователя LDAP или Active Directory.

Вы можете использовать API сопоставления ролей для определения эквивалентных сопоставлений следующим образом:

PUT / _security / role_mapping / admins {"роли": ["мониторинг", "пользователь"], "правила": {"поле": {"группы": "cn = администраторы, dc = пример, dc = com"} }, "enabled": true} PUT / _security / role_mapping / basic_users {"role": ["user"], "rules": {"any": [{"field": {"dn": "cn = John Doe, cn = подрядчики, dc = пример, dc = com "}}, {" field ": {" groups ":" cn = users, dc = example, dc = com "}}]}," enabled ": true }
Сферы PKI редактировать

Области PKI поддерживают сопоставление пользователей с ролями, но вы не можете сопоставить группы, поскольку область PKI не имеет представления о группе.

Это пример использования сопоставления на основе файлов:

мониторинг: - "cn = Admin, ou = пример, o = com" пользователь: - "cn = Джон Доу, ou = пример, o = com"

В следующем примере создаются эквивалентные сопоставления с использованием API:

PUT / _security / role_mapping / admin_user {"role": ["monitor"], "rules": {"field": {"dn": "cn = Admin, ou = пример, o = com"}}, "включено" ": true} PUT / _security / role_mapping / basic_user {" role ": [" user "]," rules ": {" field ": {" dn ":" cn = John Doe, ou = example, o = com " }}, "enabled": true}