Инструкция по смене пароля пользователя
Генерация нового хэша пароля
Условные обозначения:
-
OS_HOME- домашняя директория OpenSearch, обычно это/app/opensearch/ -
OS_IP- IP-адрес одного из серверов кластера OpenSearch
Пароли предустановленных пользователей (admin, kibanaserver, logstash, sbm) меняются только этим способом. Для остальных доступно изменение через веб-интерфейс (Навигационное меню - Настройка безопасности - Внутренние пользователи).
Для начала необходимо сгенерировать новый хэш пароля, используя следующую команду:
JAVA_HOME=$OS_HOME/jdk/ $OS_HOME/plugins/opensearch-security/tools/hash.sh
Если появляется ошибка file permission, сделайте файл исполняемым командой:
chmod +x $OS_HOME/plugins/opensearch-security/tools/hash.sh
Создание резервной копии конфигурации security
Перед внесением изменений обязательно создайте резервную копию конфигурации плагина security. Мы рекомендуем сделать 2 копии:
-
одну в директорию с бэкапами, например,
/app/backup/opensearch-security-$(date +%Y%m%d)/ -
вторую, в которую планируется вносить изменения -
${OS_HOME}/config/opensearch-security/
Используйте следующую команду для создания резервной копии в директорию ${OS_HOME}/config/opensearch-security/. Перед этим убедитесь, что у вас есть сертификаты администратора (обычно они находятся на первом узле кластера SM Data Storage):
JAVA_HOME=${OS_HOME}/jdk/ ${OS_HOME}/plugins/opensearch-security/tools/securityadmin.sh -h ${OS_IP} \
-cacert ${OS_HOME}/config/ca-cert.pem \
-cert ${OS_HOME}/config/admin-cert.pem \
-key ${OS_HOME}/config/admin-key.pem \
--accept-red-cluster -nhnv -icl \
-backup ${OS_HOME}/config/opensearch-security/
Если появляется ошибка file permission, сделайте файл исполняемым командой:
chmod +x $OS_HOME/plugins/opensearch-security/tools/securityadmin.sh
Обновление пароля пользователя
-
Откройте файл конфигурации пользователей
${OS_HOME}/config/opensearch-security/internal_users.yml -
Найдите пользователя по имени (например:
admin) -
Вставьте новый хэш пароля в поле
hash, который был сгенерирован ранее. Например:
admin:
hash: "$2y121212OLRmqL1CBHJDZkG0R4wxC.Ifb9bcqDMsZWO9780bW3lKw9nn95GjO"
reserved: true
backend_roles:
- "admin"
opendistro_security_roles:
- "all_access"
description: "Base admin user"
- Сохраните изменения
Применение обновленной конфигурации
После редактирования конфигурации необходимо применить изменения с помощью следующей команды:
JAVA_HOME=${OS_HOME}/jdk/ ${OS_HOME}/plugins/opensearch-security/tools/securityadmin.sh -h ${OS_IP} \
-cacert ${OS_HOME}/config/ca-cert.pem \
-cert ${OS_HOME}/config/admin-cert.pem \
-key ${OS_HOME}/config/admin-key.pem \
-icl -nhnv \
-t internalusers \
-f ${OS_HOME}/config/opensearch-security/internal_users.yml \