Readonlyrest和Kibana权限配置

Question

我正在尝试用Kibana建立一个基本的可读性示例。我的配置如下：

readonlyrest:
enable: true
response_if_req_forbidden: Forbidden by ReadonlyREST ES plugin

access_control_rules:

- name: Accept requests from users in group team1 on index1
  type: allow
  hosts: [localhost,127.0.0.1,10.0.0.0/24]
  groups: ["team1"]
  actions: ["indices:data/read","indices:data/read/mge/*","indices:data/read/mget","indices:data/read/*","indices:data/write/*","indices:admin/template/*","indices:admin/create", "cluster:monitor/*"]
  indices: ["<no-index>", ".kibana*", "logstash*", "default" ,"sha*" ,"ba*"]

users:

- username: alice
  auth_key: alice:p455phrase
  groups: ["team1"]

不幸的是，这是行不通的。我一直在elasticsearch日志中获得以下错误消息的授权异常：

no block has matched, forbidding by default: { action: indices:data/read/mget, 
OA:127.0.0.1, indices:[.kibana], M:POST, P:/_mget, C:{"docs":[{"_index":".kibana",
"_type":"config","_id":"4.6.1"}]}, Headers:[]}

我的配置中缺少什么？

在kibana.yml中，配置是：

elasticsearch.username: "alice"
elasticsearch.password: "p455phrase"

Answer 1

如果用例是基本的kibana身份验证，则应该遵循文档中的示例。

一旦开始工作，您就可以修改示例，将所需的规则分配给组，并将组分配给硬编码的用户。

请记住，由于浏览器和Kibana之间的HTTP basic auth提供了糟糕的安全级别，这将不是一个生产就绪的解决方案：

1. 浏览器将在每次请求时传递未加密的凭据。
2. 用户无法从Kibana“注销”

现在，ReadonlyREST提供了两个Kibana插件(专业人士和企业)，它使用加密的cookie解决了上述限制，并在Kibana中插入了一个注销按钮。

30天的试验可供下载使用