配置 Kerberos
编辑配置 Kerberos
编辑您可以为任何支持 Kerberos 的输出或输入(如 Elasticsearch)指定 Kerberos 选项。
支持以下加密类型
- aes128-cts-hmac-sha1-96
- aes128-cts-hmac-sha256-128
- aes256-cts-hmac-sha1-96
- aes256-cts-hmac-sha384-192
- des3-cbc-sha1-kd
- rc4-hmac
基于 Kerberos 密码的认证的输出配置示例
output.elasticsearch.hosts: ["http://my-elasticsearch.elastic.co:9200"] output.elasticsearch.kerberos.auth_type: password output.elasticsearch.kerberos.username: "elastic" output.elasticsearch.kerberos.password: "changeme" output.elasticsearch.kerberos.config_path: "/etc/krb5.conf" output.elasticsearch.kerberos.realm: "ELASTIC.CO"
Elasticsearch 实例的服务主体名称由这些选项构建。根据此配置,它将为 HTTP/[email protected]
。
配置选项
编辑您可以在 heartbeat.yml
配置文件中的 kerberos
部分中指定以下选项
enabled
编辑可以使用 enabled
设置通过将其设置为 false
来启用 Kerberos 配置。默认值为 true
。
如果 enabled
设置为 false
或缺少 kerberos
部分,则 Kerberos 设置将被禁用。
auth_type
编辑有两种使用 Kerberos KDC 进行身份验证的选项:password
和 keytab
。
password
需要主体名称及其密码。选择 keytab
时,您必须指定主体名称和 keytab 的路径。keytab 必须包含所选主体的密钥。否则,身份验证将失败。
config_path
编辑您需要设置 krb5.conf
的路径,以便 Heartbeat 能够找到 Kerberos KDC 以检索票证。
username
编辑用于连接到输出的主体名称。
password
编辑如果为 auth_type
配置了 password
,则必须为所选主体提供密码。
keytab
编辑如果为 auth_type
配置了 keytab
,则必须提供所选主体 keytab 的路径。
service_name
编辑此选项仅可用于 Kafka。它是 Kafka 服务的名称,通常为 kafka
。
realm
编辑输出所在的领域的名称。
enable_krb5_fast
编辑启用 Kerberos FAST 身份验证。这可能会与某些 Active Directory 安装冲突。默认值为 false
。