Перейти к основному содержимому
Версия: 5.0

Добавление записей subject в OpenSearch

Для корректной аутентификации и авторизации в OpenSearch необходимо настроить subject-записи, такие как:

  • node_dn (Distinguished Name узлов)

  • admin_dn (Distinguished Name администратора)

1. Извлечение subject для узлов

Выполните команду для получения subject сертификата узла:

openssl x509 -in $PATH_NEW_NODE_CERT/admin-cert.pem -subject -nameopt RFC2253 -noout

Добавьте полученные DN в файл ${OS_HOME}/config/opensearch.yml в параметр plugins.security.nodes_dn:

plugins.security.nodes_dn:
  - "CN=smos-node-00,O=Old Org,L=Old Moscow,ST=Old Moscow,C=RU"
  - "CN=smos-node-00,O=New Org,L=Moscow,ST=Moscow,C=RU"
  - "CN=smos-node-01,O=New Org,L=Moscow,ST=Moscow,C=RU"

Если CN узлов имеют общий префикс или суффикс, можно использовать wildcard:

plugins.security.nodes_dn:
  - "CN=smos-*,O=Old Org,L=Moscow,ST=Moscow,C=RU"
  - "CN=smos-*,O=New Org,L=Moscow,ST=Moscow,C=RU"

2. Извлечение subject для администратора

Выполните ту же команду для администратора:

openssl x509 -in $PATH_NEW_NODE_CERT/node-cert.pem -subject -nameopt RFC2253 -noout

Добавьте DN администратора в ${OS_HOME}/config/opensearch.yml в параметр plugins.security.authcz.admin_dn:

plugins.security.authcz.admin_dn:
  - "CN=admin,O=Old Org,L=Old Moscow,ST=Old Moscow,C=RU"
  - "CN=admin,O=New Org,L=Moscow,ST=Moscow,C=RU"