本地用户身份验证
编辑本地用户身份验证
编辑管理和验证用户最简单的方法是使用内部的 native 领域。您可以使用 REST API 或 Kibana 来添加和删除用户、分配用户角色以及管理用户密码。
配置本地领域
编辑本地领域默认可用并启用。您可以使用以下代码片段显式禁用它。
xpack.security.authc.realms.native.native1: enabled: false
您可以在 elasticsearch.yml 中的 xpack.security.authc.realms.native 命名空间中配置 native 领域。显式配置本地领域使您可以设置它在领域链中出现的顺序、临时禁用该领域以及控制其缓存选项。
-
在
elasticsearch.yml的xpack.security.authc.realms.native命名空间下添加领域配置。建议您为该领域显式设置order属性。您只能在 Elasticsearch 节点上配置一个本地领域。
有关您可以为
native领域设置的所有选项,请参阅 本地领域设置。例如,以下代码片段显示了一个将order设置为零的native领域配置,以便首先检查该领域xpack.security.authc.realms.native.native1: order: 0
为了限制凭据泄露和缓解凭据泄露,本地领域根据安全最佳实践存储密码和缓存用户凭据。默认情况下,使用加盐的
sha-256哈希算法将用户凭据的哈希版本存储在内存中,并使用加盐并使用bcrypt哈希算法哈希的密码版本存储在磁盘上。要使用不同的哈希算法,请参阅 用户缓存和密码哈希算法。 - 重启 Elasticsearch。