kubernetes/aai/charts/aai-elasticsearch/resources/config/sg/sg_config.yml

   1 # This is the main Search Guard configuration file where authentication
   2 # and authorization is defined.
   3 #
   4 # You need to configure at least one authentication domain in the authc of this file.
   5 # An authentication domain is responsible for extracting the user credentials from
   6 # the request and for validating them against an authentication backend like Active Directory for example.
   7 #
   8 # If more than one authentication domain is configured the first one which succeeds wins.
   9 # If all authentication domains fail then the request is unauthenticated.
  10 # In this case an exception is thrown and/or the HTTP status is set to 401.
  11 #
  12 # After authentication authorization (authz) will be applied. There can be zero or more authorizers which collect
  13 # the roles from a given backend for the authenticated user.
  14 #
  15 # Both, authc and auth can be enabled/disabled separately for REST and TRANSPORT layer. Default is true for both.
  16 #        http_enabled: true
  17 #        transport_enabled: true
  18 #
  19 # 5.x Migration: "enabled: true/false" will also be respected currently but only to provide backward compatibility.
  20 #
  21 # For HTTP it is possible to allow anonymous authentication. If that is the case then the HTTP authenticators try to
  22 # find user credentials in the HTTP request. If credentials are found then the user gets regularly authenticated.
  23 # If none can be found the user will be authenticated as an "anonymous" user. This user has always the username "sg_anonymous"
  24 # and one role named "sg_anonymous_backendrole".
  25 # If you enable anonymous authentication all HTTP authenticators will not challenge.
  26 #
  27 #
  28 # Note: If you define more than one HTTP authenticators make sure to put non-challenging authenticators like "proxy" or "clientcert"
  29 # first and the challenging one last.
  30 # Because it's not possible to challenge a client with two different authentication methods (for example
  31 # Kerberos and Basic) only one can have the challenge flag set to true. You can cope with this situation
  32 # by using pre-authentication, e.g. sending a HTTP Basic authentication header in the request.
  33 #
  34 # Default value of the challenge flag is true.
  35 #
  36 #
  37 # HTTP
  38 #   basic (challenging)
  39 #   proxy (not challenging, needs xff)
  40 #   clientcert (not challenging, needs https)
  41 #   host (not challenging) #DEPRECATED, will be removed in a future version.
  42 #                           host based authentication is configurable in sg_roles_mapping
  43
  44 # Authc
  45 #   internal
  46 #   noop
  47
  48 # Authz
  49 #   noop
  50
  51 # Some SearchGuard functionality is licensed under Apache-2.0, while other functionality is non-free;
  52 # see https://github.com/floragunncom/search-guard. The functionality enabled in this configuration
  53 # file only include those that are licensed under Apache-2.0. Please use care and review SearchGuard's
  54 # license details before enabling any additional features here.
  55
  56 searchguard:
  57   dynamic:
  58     # Set filtered_alias_mode to 'disallow' to forbid more than 2 filtered aliases per index
  59     # Set filtered_alias_mode to 'warn' to allow more than 2 filtered aliases per index but warns about it (default)
  60     # Set filtered_alias_mode to 'nowarn' to allow more than 2 filtered aliases per index silently
  61     #filtered_alias_mode: warn
  62     http:
  63       anonymous_auth_enabled: false
  64       xff:
  65         enabled: false
  66         internalProxies: '192\.168\.0\.10|192\.168\.0\.11' # regex pattern
  67         #internalProxies: '.*' # trust all internal proxies, regex pattern
  68         remoteIpHeader:  'x-forwarded-for'
  69         proxiesHeader:   'x-forwarded-by'
  70         #trustedProxies: '.*' # trust all external proxies, regex pattern
  71         ###### see https://docs.oracle.com/javase/7/docs/api/java/util/regex/Pattern.html for regex help
  72         ###### more information about XFF https://en.wikipedia.org/wiki/X-Forwarded-For
  73         ###### and here https://tools.ietf.org/html/rfc7239
  74         ###### and https://tomcat.apache.org/tomcat-8.0-doc/config/valve.html#Remote_IP_Valve
  75     authc:
  76       basic_internal_auth_domain:
  77         http_enabled: true
  78         transport_enabled: true
  79         order: 2
  80         http_authenticator:
  81           type: basic
  82           challenge: true
  83         authentication_backend:
  84           type: intern
  85       proxy_auth_domain:
  86         http_enabled: false
  87         transport_enabled: false
  88         order: 3
  89         http_authenticator:
  90           type: proxy
  91           challenge: false
  92           config:
  93             user_header: "x-proxy-user"
  94             roles_header: "x-proxy-roles"
  95         authentication_backend:
  96           type: noop
  97       jwt_auth_domain:
  98         http_enabled: false
  99         transport_enabled: false
 100         order: 0
 101         http_authenticator:
 102           type: jwt
 103           challenge: false
 104           config:
 105             signing_key: "base64 encoded HMAC key or public RSA/ECDSA pem key"
 106             jwt_header: "Authorization"
 107             jwt_url_parameter: null
 108             roles_key: null
 109             subject_key: null
 110         authentication_backend:
 111           type: noop
 112       clientcert_auth_domain:
 113         http_enabled: true
 114         transport_enabled: true
 115         order: 1
 116         http_authenticator:
 117           type: clientcert
 118           config:
 119             username_attribute: cn #optional, if omitted DN becomes username
 120           challenge: false
 121         authentication_backend:
 122           type: noop
 123     authz: