Я пытаюсь настроить базовый пример readonlyrest с Kibana. Моя конфигурация такова:Конфигурация разрешения Readonlyrest и Kibana
readonlyrest:
enable: true
response_if_req_forbidden: Forbidden by ReadonlyREST ES plugin
access_control_rules:
- name: Accept requests from users in group team1 on index1
type: allow
hosts: [localhost,127.0.0.1,10.0.0.0/24]
groups: ["team1"]
actions: ["indices:data/read","indices:data/read/mge/*","indices:data/read/mget","indices:data/read/*","indices:data/write/*","indices:admin/template/*","indices:admin/create", "cluster:monitor/*"]
indices: ["<no-index>", ".kibana*", "logstash*", "default" ,"sha*" ,"ba*"]
users:
- username: alice
auth_key: alice:p455phrase
groups: ["team1"]
К сожалению, это не сработает. Я продолжаю получать исключение авторизации со следующим сообщением об ошибке в журналах elasticsearch:
no block has matched, forbidding by default: { action: indices:data/read/mget,
OA:127.0.0.1, indices:[.kibana], M:POST, P:/_mget, C:{"docs":[{"_index":".kibana",
"_type":"config","_id":"4.6.1"}]}, Headers:[]}
Что не хватает в моей конфигурации?
В kibana.yml конфигурация:
elasticsearch.username: "alice"
elasticsearch.password: "p455phrase"
Спасибо. Основные примеры кибаны работают, если я разрешаю ВСЕ индексы и все действия. Но я хочу ограничить доступ Киба к индексам, начинающимся с ша, и тем, которые начинаются с ba. Для этого я добавил индексы: «», «.kibana», «.kibana/*», «default», «sha *», «ba *»]. И это приводит к ошибке разрешения. ни один из блоков не соответствует, запрещающий по умолчанию: {действие: индексы: данные/чтение/поиск, OA: 127.0.0.1, индексы: [shakespeare sha *], M: POST, P:/_ msearch, C: {"index": ["sha *"], "ignore_unavailable": true} ... –
Klaus
Я сделал еще несколько копаний. Похоже, что readonlyrest работает так, как ожидалось. Кажется, когда начинается кибана, он делает одно или несколько запросов с помощью логсташа. И если у пользователя нет доступа на чтение в logstash- *, доступ запрещен. Итак, теперь вопрос заключается в том, как предохранить кибану от первоначальных запросов с помощью шаблона индекса логсташа? – Klaus
Попробуйте это: запустите kibana с отключенным плагином, измените индексный шаблон 'logstash- *', заново включите плагин, Kibana должна знать, что искать без дефолта при поиске 'logstash- *' – sscarduzio