Pernahkah Anda mencoba login ke dashboard Wazuh atau mengakses API Wazuh Indexer (OpenSearch) namun justru mendapatkan pesan error "Invalid username or password", padahal Anda merasa kredensial sudah benar?
Masalah ini biasanya terjadi karena sinkronisasi konfigurasi keamanan pada indexer yang belum diperbarui atau adanya perubahan pada file YAML yang belum di-"push" ke sistem index. Berikut adalah panduan langkah demi langkah untuk menyelesaikannya menggunakan tool securityadmin.sh.
Mengapa Masalah Ini Terjadi?
Wazuh Indexer menggunakan plugin keamanan OpenSearch yang menyimpan konfigurasi user, role, dan autentikasi dalam index khusus bernama .opendistro_security. Jika Anda mengubah file konfigurasi di /etc/wazuh-indexer/opensearch-security/, perubahan tersebut tidak akan otomatis diterapkan sampai Anda menjalankan script inisialisasi keamanan.
Langkah Penyelesaian
1. Masuk sebagai Root
Langkah pertama, pastikan Anda memiliki hak akses penuh ke server Wazuh Indexer.
sudo su2. Jalankan Script Keamanan (Inisialisasi)
Gunakan perintah berikut untuk memaksa Wazuh Indexer memuat ulang konfigurasi dari file YAML. Perintah ini menggunakan sertifikat admin untuk mengautentikasi perubahan.
sudo JAVA_HOME=/usr/share/wazuh-indexer/jdk /usr/share/wazuh-indexer/plugins/opensearch-security/tools/securityadmin.sh \
-cd /etc/wazuh-indexer/opensearch-security/ \
-icl -nhnv \
-cacert /etc/wazuh-indexer/certs/root-ca.pem \
-cert /etc/wazuh-indexer/certs/admin.pem \
-key /etc/wazuh-indexer/certs/admin-key.pem \
-h 127.0.0.1 -t configJika berhasil, Anda akan melihat output SUCC: Configuration for 'internalusers' created or updated dan diakhiri dengan pesan Done with success.
3. Verifikasi Koneksi dengan Sertifikat
Coba tes apakah cluster merespons dengan benar menggunakan sertifikat admin tanpa password:
curl --cert /etc/wazuh-indexer/certs/admin.pem --key /etc/wazuh-indexer/certs/admin-key.pem -k https://localhost:92004. Perbarui Password (Opsional)
Jika Anda perlu mengubah password user admin atau user internal lainnya, edit file berikut:
nano /etc/wazuh-indexer/opensearch-security/internal_users.yml
Setelah mengubah file tersebut, ulangi langkah nomor 2 agar perubahan tersimpan ke dalam database sistem.
5. Uji Coba Autentikasi User
Setelah konfigurasi diperbarui (updated), coba login kembali atau tes menggunakan curl dengan username dan password yang baru:
curl -u admin:PASSWORD_ANDA -k https://localhost:9200Jika Anda mendapatkan respons JSON yang berisi informasi cluster (seperti nama node dan versi OpenSearch), berarti masalah Invalid username or password telah teratasi!
Ringkasan Perintah Penting
KomponenLokasi File / ScriptTool Keamanan/usr/share/wazuh-indexer/plugins/opensearch-security/tools/securityadmin.shConfig User/etc/wazuh-indexer/opensearch-security/internal_users.ymlSertifikat Admin/etc/wazuh-indexer/certs/admin.pem & admin-key.pem