身份验证流程 #
了解身份验证流程是开始配置安全模块的好方法。
为了识别想要访问集群的用户,安全模块需要用户的凭据。
这些凭据因您配置模块的方式而异。例如,如果您使用基本身份验证,则凭据是用户名和密码。 如果您使用 JSON Web 令牌,则凭据存储在令牌本身中。 如果您使用 TLS 证书,则凭据是证书的专有名称 (DN)。
安全模块根据后端验证用户凭证:内部用户数据库、轻量级目录访问协议 (LDAP)、Active Directory。
该模块支持在
config/security/config.yml
中链接后端。如果存在多个后端,则该模块会尝试依次对每个后端进行用户身份验证,直到一个成功为止。后端验证用户凭证后,模块收集所有后端角色。这些角色可以是内部用户数据库中的任意字符串。
用户通过身份验证并检索到任何后端角色后,安全模块使用角色映射为用户分配安全角色。
如果角色映射不包括用户(或用户的后端角色),则用户已成功通过身份验证,但没有权限。
用户现在可以执行由映射的安全角色定义的操作。
禁用安全功能 #
Easysearch 默认开启了安全功能,尽管强烈不建议关闭 Easysearch 的安全功能,不过如果确实有必要临时禁用权限功能,
可以通过修改 easysearch.yml
的配置实现:
security.enabled: false