sgadmin.sh/sgadmin.bat是Elastic Search的開源安全組件Search Guard內的可執行腳本。
在修改SG組件的用戶角色、權限、密碼時,需使用到此腳本。
在修改完Search Guard插件的sg_internal_users.yml內的用戶密碼后,必須執行sgadmin.sh腳本,以使其新密碼在ES集群的當前節點和其他所有節點中生效。
因此,了解sgadmin腳本中各參數的用途就有一定必要了,方便根據具體情況隨機應變。
[root@es1 elasticsearch]# find /usr/share/elasticsearch/ -name "*sgadmin*"
/usr/share/elasticsearch/plugins/search-guard-6/tools/sgadmin.bat
/usr/share/elasticsearch/plugins/search-guard-6/tools/sgadmin.sh
-H/-h elasticsearch主機名,默認值:localhost
-cd 可以找到要上傳到集群的Search Guard配置文件的選項詳細信息
-cn/--clustername 指定集群名稱。默認值:elasticsearch
-icl/--ignore-clustername 忽略集群名稱。告訴搜索衛隊上傳的配置無論群集名稱。【-cn 與 本參數不要同時使用】
-nhnv disable-host-name-verification,禁用主機名驗證,不驗證主機名。默認值:false
-nrhn disable-resolve-hostname,不解析主機名(僅在未設置-nhnv的情況下才相關)
-noopenssl 即使可用,也不要使用OpenSSL(默認值:如果可用,請使用OpenSSL)
-cert 包含admin證書和所有中間證書(如有)的pem文件的位置。可使用絕對或相對路徑。相對路徑相對於sgadmin的執行目錄進行解析。
-cacert 包含根證書的pem文件的位置。您可以使用絕對或相對路徑。相對路徑相對於sgadmin的執行目錄進行解析
-key 包含管理員admin證書私鑰的pem文件的位置
-keypass 密鑰庫的密碼。管理員admin證書私鑰的密碼(如果有)
-ks 包含管理員證書和所有中間證書(如果有)的密鑰庫的位置。您可以使用絕對或相對路徑。相對路徑相對於sgadmin的執行目錄進行解析。
-kst 密鑰庫類型,JKS或PKCS12 / PFX。如果未指定,Search Guard會嘗試從文件擴展名中扣除類型。
-ksalias 管理證書的別名(如果有)。
-ts 包含根證書的信任庫的位置。您可以使用絕對或相對路徑。相對路徑相對於sgadmin的執行目錄進行解析
-tspass 信任庫的密碼
-tst 信任庫類型為JKS或PKCS12 / PFX。如果未指定,Search Guard會嘗試從文件擴展名中扣除類型
-tsalias 根證書的別名(如果有)
-sniff 嗅探群集節點。
-arc/–accept-red-cluster 即使群集狀態為紅色,也可接受執行sgadmin。默認值:sgadmin不會在紅色集群狀態下執行
-ff fast fail; 如果出現問題,則快速失敗,無法重試
[配置文件配置]
-cd 包含多個Search Guard配置文件的目錄。
-f 單個配置文件(不能與-cd一起使用)
-t 文件類型
-rl 重新加載當前配置並刷新內部緩存。
使Search Guard的用戶新密碼生效的參考命令:
cd /usr/share/elasticsearch/plugins/search-guard-6/tools/
./sgadmin.sh \
-h 172.15.3.17 \
-cd ../sgconfig/ \
-icl -nhnv -cacert /etc/elasticsearch/root-ca.pem \
-cert /etc/elasticsearch/kirk.pem \
-key /etc/elasticsearch/kirk-key.pem \
--accept-red-cluster