配置 Kerberos
编辑配置 Kerberos编辑
您可以使用任何支持 Kerberos 的输出或输入(例如 Elasticsearch)指定 Kerberos 选项。
支持以下加密类型
- aes128-cts-hmac-sha1-96
- aes128-cts-hmac-sha256-128
- aes256-cts-hmac-sha1-96
- aes256-cts-hmac-sha384-192
- des3-cbc-sha1-kd
- rc4-hmac
使用基于 Kerberos 密码的身份验证的示例输出配置
output.elasticsearch.hosts: ["http://my-elasticsearch.elastic.co:9200"] output.elasticsearch.kerberos.auth_type: password output.elasticsearch.kerberos.username: "elastic" output.elasticsearch.kerberos.password: "changeme" output.elasticsearch.kerberos.config_path: "/etc/krb5.conf" output.elasticsearch.kerberos.realm: "ELASTIC.CO"
Elasticsearch 实例的服务主体名称由这些选项构成。根据此配置,它将是 HTTP/[email protected]。
配置选项编辑
您可以在 auditbeat.yml 配置文件的 kerberos 部分中指定以下选项
enabled编辑
可以通过将 enabled 设置为 false 来启用 kerberos 配置。默认值为 true。
如果将 enabled 设置为 false 或缺少 kerberos 部分,则将禁用 Kerberos 设置。
auth_type编辑
可以使用两种选项通过 Kerberos KDC 进行身份验证:password 和 keytab。
password 需要主体名称及其密码。选择 keytab 时,您必须指定主体名称和 keytab 的路径。keytab 必须包含所选主体的密钥。否则,身份验证将失败。
config_path编辑
您需要设置 krb5.conf 的路径,以便 Auditbeat 可以找到 Kerberos KDC 以检索票证。
username编辑
用于连接到输出的主体的名称。
password编辑
如果为 auth_type 配置了 password,则必须为所选主体提供密码。
keytab编辑
如果为 auth_type 配置了 keytab,则必须提供所选主体的 keytab 的路径。
service_name编辑
此选项只能为 Kafka 配置。它是 Kafka 服务的名称,通常为 kafka。
realm编辑
输出所在的领域名称。
enable_krb5_fast编辑
启用 Kerberos FAST 身份验证。这可能与某些 Active Directory 安装冲突。默认值为 false。