Installation et configuration du plugin shield

Dans le cadre d’un projet de mise en oeuvre d’un moteur de recherche, on s’est attardé sur la sécurité du moteur elasticsearch.shield-triad

ce dernier dispose pour peu qu’on prenne le support d’un plugin gérant la sécurité des index : shield.

  • Ce plugin permet de sécuriser les cluster et index ELASTICEARCH. Il apporte
  • Identification et gestion des ACLS sur les cluster et index
  • IP Filtering
  • Audit
  • Cryptage des échanges

La documentation est très bien faite. Voici les actions que j’ai réalisé pour installer le tout

Installation plugin license et shield

bin/plugin -i license -u file:///logiciels/source/shield/license-latest.zip
bin/plugin -i shield -u file:///logiciels/source/shield/shield-1.2.0.zip

Génération des clés privées/publiques

bin/shield/syskeygen
Storing generated key in [/logiciels/elasticsearch/config/shield/system_key]...
Ensure the generated key can be read by the user that Elasticsearch runs as, permissions are set to owner read/write only

Création des utilisateurs

bin/shield/esusers useradd es_admin -p es_admin -r admin
bin/shield/esusers useradd es_puser -p es_puser -r power_user
bin/shield/esusers useradd es_user -p es_user -r user

Configuration marvel

bin/shield/esusers useradd marvel_export -p strongpassword -r marvel_agent
bin/shield/esusers useradd es_admin -p es_admin -r marvel_user

Puis indiquer dans le fichier elasticsearch.yml, le moyen de se connecter 

marvel.agent.exporter.es.hosts: [ "http://marvel_export:marvel_export@127.0.0.1:9200"]?utm_source=rss&utm_medium=rss

Configuration pour une connexion LDAP

shield:
authc:
realms:
esusers:
type: esusers
order: 0
ldap:
type: ldap
order: 1
url: "ldap://monserveurldap:389"
bind_dn: "CN=user,...."
bind_password: .....
user_search:
base_dn: "OU LDAP"
attribute: sAMAccountName
group_search:
base_dn: "OU"
unmapped_groups_as_roles: false

Redémarrage

Au redémarrage, vous obtiendrez cette erreur

shield.license [node-maquette]
#
# Shield license will expire on [Wednesday, May 20, 2015]. Cluster health, cluster stats and indices stats operations are
# blocked on Shield license expiration. All data operations (read and write) continue to work. If you
# have a new license, please update it. Otherwise, please reach out to your support contact.

Pour ça, je ne peux pas vous aider, il faut souscrire à un contrat de support :)

tags : configuration elasticsearch installation java marvel pl-fr plugin shield
0 vote
20/04/2015 11:42
Ecrit par Littlewing - Afficher l'article originel
Vus : 940
Publié par Littlewing : 368