Search Guard1.2 映射到Search Guard角色

Search Guard1.2 映射到Search Guard角色

本文内容

• 角色映射概念

• 概述:用户的后端角色

• 配置角色映射

• 更新配置

在1.0和1.1中我们已经创建了Search Guard用户和角色。

在下一步操作中，我们需要去连接Search Guard角色的用户，这就是角色映射发挥作用的地方。为了映射Search Guard角色到用户，你可以使用

• 这个用户名称

• 这个用户的后端角色

• 请求来源的主机名和IP(高级)

这最灵活的方式是去使用后端角色。依赖于你使用的身份验证方法，后端角色可以是:

• LDAP/Active Directory groups

• JWT claims

• SAML assertions

• Internal user datatbase backend roles

1. 概述:用户的后端角色

在1.0中我们配置了三个用户。他们中的两个拥有后端角色hr_department ，另外一个拥有后端角色devops。

jdoe:
  hash: $2y$12$AwwN1fn0HDEw/LBCwWU0y.Ys6PoKBL5pR.WTYAIV92ld7tA8kozqa
  backend_roles:
​    - hr_department

psmith:
  hash: $2y$12$YOVZhJ.gbZOAoGyd9YGNMuw7rWYTfB73n8OGBLtsrihMkW5rg5D1G
  backend_roles:
​    - hr_department

cmaddock:
  hash: $2y$12$3UFikPXIZLoHcsDGD0hyqOvxjytdXeRkefIF1M58jA5oueSDKthzu
  backend_roles:
​    - devops

我们想去分配

• 拥有后端角色hr_department的所有用户对应Search Guard的sg_human_resources角色

• 拥有后端角色devops的所有用户，对应Search Guard 的sg_devops角色

2. 配置角色映射

在sg_roles_mappings.yml文件中配置用户和Search Guard角色的映射，如下是结构：

<Search Guard role name>:
  users:
​    - <username>
​    - ...

  backend_roles:
​    - <rolename>
​    - ...

  hosts:
​    - <hostname>
​    - ...

在sg_internal_uses.yml中我们可以配置用户的后端角色，并且定义如下角色映射：

sg_human_resources:
  backend_roles:
​    - hr_department

sg_devops:
  backend_roles:
​    - devops

对于用户jdoe和psmith在Search Guard角色sg_human_resources是有效的，由于他们拥有户端角色hr_department。

且用户cmaddock在Search Guard 角色sg_devops也有效，由于这个用户拥有后端角色devops。

3. 更新配置

这个我们专门拿一节来说更新。这里给个官网链接

https://docs.search-guard.com/latest/sgadmin

额外的资源

• Mapping users to roles (docs)

• Using sgadmin (docs)

__EOF__

本文作者：山沉
本文链接：https://www.cnblogs.com/Choleen/p/17053525.html
关于博主：评论和私信会在第一时间回复。或者直接私信我。
版权声明：本博客所有文章除特别声明外，均采用 BY-NC-SA 许可协议。转载请注明出处！
声援博主：如果您觉得文章对您有帮助，可以点击文章右下角【推荐】一下。您的鼓励是博主的最大动力！