[ElasticSearch]#Search Guard#sgadmin参数说明

sgadmin.sh/sgadmin.bat是Elastic Search的开源安全组件Search Guard内的可执行脚本。

在修改SG组件的用户角色、权限、密码时，需使用到此脚本。

在修改完Search Guard插件的sg_internal_users.yml内的用户密码后，必须执行sgadmin.sh脚本，以使其新密码在ES集群的当前节点和其他所有节点中生效。

因此，了解sgadmin脚本中各参数的用途就有一定必要了，方便根据具体情况随机应变。

[root@es1 elasticsearch]# find /usr/share/elasticsearch/ -name "*sgadmin*"
/usr/share/elasticsearch/plugins/search-guard-6/tools/sgadmin.bat
/usr/share/elasticsearch/plugins/search-guard-6/tools/sgadmin.sh

-H/-h 	elasticsearch主机名，默认值：localhost
-cd 可以找到要上传到集群的Search Guard配置文件的选项详细信息
-cn/--clustername 指定集群名称。默认值：elasticsearch

-icl/--ignore-clustername 忽略集群名称。告诉搜索卫队上传的配置无论群集名称。【-cn 与 本参数不要同时使用】

-nhnv disable-host-name-verification，禁用主机名验证，不验证主机名。默认值：false
-nrhn disable-resolve-hostname，不解析主机名（仅在未设置-nhnv的情况下才相关）
-noopenssl 即使可用，也不要使用OpenSSL（默认值：如果可用，请使用OpenSSL）

-cert 包含admin证书和所有中间证书（如有）的pem文件的位置。可使用绝对或相对路径。相对路径相对于sgadmin的执行目录进行解析。
-cacert 包含根证书的pem文件的位置。您可以使用绝对或相对路径。相对路径相对于sgadmin的执行目录进行解析

-key 包含管理员admin证书私钥的pem文件的位置
-keypass 密钥库的密码。管理员admin证书私钥的密码（如果有）
-ks 包含管理员证书和所有中间证书（如果有）的密钥库的位置。您可以使用绝对或相对路径。相对路径相对于sgadmin的执行目录进行解析。
-kst 密钥库类型，JKS或PKCS12 / PFX。如果未指定，Search Guard会尝试从文件扩展名中扣除类型。
-ksalias 管理证书的别名（如果有）。

-ts 包含根证书的信任库的位置。您可以使用绝对或相对路径。相对路径相对于sgadmin的执行目录进行解析
-tspass	信任库的密码
-tst 信任库类型为JKS或PKCS12 / PFX。如果未指定，Search Guard会尝试从文件扩展名中扣除类型
-tsalias 根证书的别名（如果有）

-sniff 嗅探群集节点。

-arc/–accept-red-cluster 即使群集状态为红色，也可接受执行sgadmin。默认值：sgadmin不会在红色集群状态下执行

-ff fast fail; 如果出现问题，则快速失败，无法重试

[配置文件配置]
-cd 包含多个Search Guard配置文件的目录。
-f 单个配置文件（不能与-cd一起使用）
-t 文件类型
-rl 重新加载当前配置并刷新内部缓存。

使Search Guard的用户新密码生效的参考命令：

cd /usr/share/elasticsearch/plugins/search-guard-6/tools/

./sgadmin.sh \
	-h 172.15.3.17 \
	-cd ../sgconfig/ \
	-icl -nhnv -cacert /etc/elasticsearch/root-ca.pem \
	-cert /etc/elasticsearch/kirk.pem \
	-key /etc/elasticsearch/kirk-key.pem \
	--accept-red-cluster

X 文献

• search-guard 官网: first steps user configuration