身份验证¶
身份验证用于将会话映射到特定用户,从而实现访问控制。
当客户端连接到 Nebula Graph 时,Nebula Graph 会创建一个会话,会话中存储连接的各种信息,如果开启了身份验证,就会将会话映射到对应的用户。
Note
默认情况下,身份验证功能是关闭的,用户可以使用 root 用户名和任意密码连接到 Nebula Graph。
Nebula Graph 支持两种身份验证方式:本地身份验证和 LDAP 验证。
本地身份验证¶
本地身份验证是指在服务器本地存储用户名、加密密码,当用户尝试访问 Nebula Graph 时,将进行身份验证。
启用本地身份验证¶
-
编辑配置文件
nebula-graphd.conf
(默认目录为/usr/local/nebula/etc/
),设置如下参数:--enable_authorize
:是否启用身份验证,可选值:true
、false
。
--failed_login_attempts
:可选项,需要手动添加该参数。单个 Graph 节点允许连续输入错误密码的次数。超过该次数时,账户会被锁定。如果有多个 Graph 节点,允许的次数为节点数 * 次数
。
--password_lock_time_in_secs
:可选项,需要手动添加该参数。多次输入错误密码后,账户被锁定的时间。单位:秒。
-
重启 Nebula Graph 服务。
Note
开启身份验证后,默认的 God 角色账号为root
,密码为nebula
。角色详情请参见内置角色权限。
OpenLDAP 验证¶
OpenLDAP 是轻型目录访问协议(LDAP)的开源实现,可以实现账号集中管理。
启用 OpenLDAP 验证¶
Enterpriseonly
当前仅企业版支持集成 OpenLDAP 进行身份验证,详情请参见使用 OpenLDAP 进行身份验证。
最后更新:
June 20, 2023