原生用户身份验证
编辑原生用户身份验证编辑
管理和验证用户的最简单方法是使用内部 native 领域。您可以使用 REST API 或 Kibana 来添加和删除用户、分配用户角色以及管理用户密码。
配置原生领域编辑
原生领域默认可用并启用。您可以使用以下代码段显式禁用它。
xpack.security.authc.realms.native.native1: enabled: false
您可以在 elasticsearch.yml 的 xpack.security.authc.realms.native 命名空间中配置 native 领域。显式配置原生领域使您能够设置它在领域链中出现的顺序、临时禁用该领域以及控制其缓存选项。
-
在
xpack.security.authc.realms.native命名空间下,将领域配置添加到elasticsearch.yml。建议您为该领域显式设置order属性。您只能在 Elasticsearch 节点上配置一个原生领域。
有关可以为
native领域设置的所有选项,请参阅原生领域设置。例如,以下代码段显示了一个native领域配置,该配置将order设置为零,以便首先检查该领域xpack.security.authc.realms.native.native1: order: 0
为了限制凭据被盗的风险并减轻凭据泄露的影响,原生领域会根据安全最佳实践存储密码和缓存用户凭据。默认情况下,用户凭据的哈希版本存储在内存中,使用加盐的
sha-256哈希算法,而密码的哈希版本存储在磁盘上,并使用bcrypt哈希算法进行加盐和哈希处理。要使用不同的哈希算法,请参阅用户缓存和密码哈希算法。 - 重启 Elasticsearch。