sgadmin.sh/sgadmin.bat是Elastic Search的开源安全组件Search Guard内的可执行脚本。
在修改SG组件的用户角色、权限、密码时,需使用到此脚本。
在修改完Search Guard插件的sg_internal_users.yml内的用户密码后,必须执行sgadmin.sh脚本,以使其新密码在ES集群的当前节点和其他所有节点中生效。
因此,了解sgadmin脚本中各参数的用途就有一定必要了,方便根据具体情况随机应变。
[root@es1 elasticsearch]# find /usr/share/elasticsearch/ -name "*sgadmin*"
/usr/share/elasticsearch/plugins/search-guard-6/tools/sgadmin.bat
/usr/share/elasticsearch/plugins/search-guard-6/tools/sgadmin.sh
-H/-h elasticsearch主机名,默认值:localhost
-cd 可以找到要上传到集群的Search Guard配置文件的选项详细信息
-cn/--clustername 指定集群名称。默认值:elasticsearch
-icl/--ignore-clustername 忽略集群名称。告诉搜索卫队上传的配置无论群集名称。【-cn 与 本参数不要同时使用】
-nhnv disable-host-name-verification,禁用主机名验证,不验证主机名。默认值:false
-nrhn disable-resolve-hostname,不解析主机名(仅在未设置-nhnv的情况下才相关)
-noopenssl 即使可用,也不要使用OpenSSL(默认值:如果可用,请使用OpenSSL)
-cert 包含admin证书和所有中间证书(如有)的pem文件的位置。可使用绝对或相对路径。相对路径相对于sgadmin的执行目录进行解析。
-cacert 包含根证书的pem文件的位置。您可以使用绝对或相对路径。相对路径相对于sgadmin的执行目录进行解析
-key 包含管理员admin证书私钥的pem文件的位置
-keypass 密钥库的密码。管理员admin证书私钥的密码(如果有)
-ks 包含管理员证书和所有中间证书(如果有)的密钥库的位置。您可以使用绝对或相对路径。相对路径相对于sgadmin的执行目录进行解析。
-kst 密钥库类型,JKS或PKCS12 / PFX。如果未指定,Search Guard会尝试从文件扩展名中扣除类型。
-ksalias 管理证书的别名(如果有)。
-ts 包含根证书的信任库的位置。您可以使用绝对或相对路径。相对路径相对于sgadmin的执行目录进行解析
-tspass 信任库的密码
-tst 信任库类型为JKS或PKCS12 / PFX。如果未指定,Search Guard会尝试从文件扩展名中扣除类型
-tsalias 根证书的别名(如果有)
-sniff 嗅探群集节点。
-arc/–accept-red-cluster 即使群集状态为红色,也可接受执行sgadmin。默认值:sgadmin不会在红色集群状态下执行
-ff fast fail; 如果出现问题,则快速失败,无法重试
[配置文件配置]
-cd 包含多个Search Guard配置文件的目录。
-f 单个配置文件(不能与-cd一起使用)
-t 文件类型
-rl 重新加载当前配置并刷新内部缓存。
使Search Guard的用户新密码生效的参考命令:
cd /usr/share/elasticsearch/plugins/search-guard-6/tools/
./sgadmin.sh
-h 172.15.3.17
-cd ../sgconfig/
-icl -nhnv -cacert /etc/elasticsearch/root-ca.pem
-cert /etc/elasticsearch/kirk.pem
-key /etc/elasticsearch/kirk-key.pem
--accept-red-cluster