Cloud Manager プロジェクトでの Kerberos 認証の有効化
- Cloud Managerへのプログラムによるアクセスのための OAuth 2.0認証はプレビュー機能として利用できます。
- 機能および関連するドキュメントは、プレビュー期間中にいつでも変更される可能性があります。 OAuth2.0 認証を使用するには、 Cloud Manager Public APIへのリクエストで使用する サービス アカウント を作成します。
Overview
Cloud Manager を使用すると、Cloud Manager エージェントを含むすべてのクライアントが MongoDB 配置に接続するために使用する認証メカニズムを構成できます。 プロジェクトごとに複数の認証メカニズムを有効にできますが、エージェントには 1 つのメカニズムのみを選択する必要があります。
MongoDB Enterpriseは Kerberos サービスを使用する認証をサポートしています。 Kerberos は、大規模なクライアント/サーバー システム向けの業界標準の認証プロトコルです。
重要
Kerberos 配置の セットアップと構成 については、このドキュメントの範囲外です。 このチュートリアルでは、各エージェントに対して Kerberos プリンシパルを構成し、各エージェントに対して有効なキータブ ファイルがあることを前提としています。
Kerberos を使用して MongoDB を認証するには、次の条件を満たす必要があります。
適切に構成された Kerberos 配置があること
MongoDB のKerberos サービス プリンシパルを構成し、
エージェントのKerberos ユーザー プリンシパルを追加します。
MongoDB マニュアルの「 Kerberos 認証」セクションでは、Kerberos で MongoDB を使用する方法の詳細について説明しています。
Considerations
Kerberos (GSSAPI)
は MongoDB Enterprise ビルドでのみ利用可能です。 MongoDB Community ビルドで実行している既存の配置がある場合は、Cloud Manager プロジェクトでKerberos (GSSAPI)
を有効にする前に、それらを MongoDB Enterprise にアップグレードする必要があります。
このチュートリアルでは、Cloud Manager プロジェクトの 1 つで Kerberos を有効にする方法と、Kerberos 対応の配置に接続するように Cloud Manager エージェントを構成する方法について説明します。
注意
プロジェクトの認証と TLS 設定をリセットする場合は、まず Cloud Manager がプロジェクト内で管理する MongoDB 配置の管理を解除します。
手順
これらの手順では、オートメーションを使用する場合に Kerberos 認証を構成して有効にする方法について説明します。 Cloud Manager がモニタリングやバックアップを管理しない場合は、Kerberos を使用して認証するようにそれらを手動で構成する必要があります。
手順については、「 Kerberos 用の MongoDB Agent の構成」を参照してください。
Kerberos ベースの認証を行うために既存の Linux 配置を構成する
Cloud Manager を使用してプロジェクト内の Linux での既存の配置を管理する場合は、プロジェクトで Kerberos 認証を有効にする前に、プロジェクト内のすべての MongoDB 配置を Kerberos 認証用に構成する必要があります。
MongoDB Cloud MongoDB Cloud ManagerManagerで、プロジェクトのGo {0 ページにGoします。Deployment
まだ表示されていない場合は、目的のプロジェクトを含む組織をナビゲーション バーの Organizations メニューで選択します。
まだ表示されていない場合は、ナビゲーション バーのProjectsメニューから目的のプロジェクトを選択します。
Deployment ページがまだ表示されていない場合は、サイドバーの Deployment をクリックします。
配置ページが表示されます。
Processes ページに移動します。
配置の [ Processes ] タブをクリックします。
[プロセス ]ページが表示されます。
各配置で Kerberos オプションを構成したら、Cloud Manager プロジェクトで Kerberos の有効化に進むことができます。
Cloud Manager プロジェクトでの Kerberos の有効化
MongoDB Cloud ManagerGoDeploymentMongoDB Cloud Managerで、プロジェクトの ページにGoします。
まだ表示されていない場合は、目的のプロジェクトを含む組織をナビゲーション バーの Organizations メニューで選択します。
まだ表示されていない場合は、ナビゲーション バーのProjectsメニューから目的のプロジェクトを選択します。
Deployment ページがまだ表示されていない場合は、サイドバーの Deployment をクリックします。
配置ページが表示されます。
Security ページに移動します。
配置の [ Security ] タブをクリックします。
[セキュリティ ]ページが表示されます。
TLS 設定を指定します。
フィールド | アクション |
---|---|
MongoDB 配置トランスポート層セキュリティ (TLS) | このスライダーをONに切り替えます。 |
TLS CA ファイルパス | TLS認証局ファイルは、証明機関からのルート証明書チェーンを含む
MongoDB プロセスを実行しているすべてのホスト上のTLS認証局ファイルへのファイル パスを入力します。
これにより、プロジェクト内の MongoDB プロセスの Validateをクリックして、指定したパスで配置内の各ホストにTLS認証局があることをテストします。 |
クライアント証明書モード | TLS 対応の MongoDB 配置に接続するときにクライアント アプリケーションまたは MongoDB エージェントが TLS 証明書を提示する必要がある場合は、 を選択します。MongoDB の各配置では、接続時にこれらのクライアント ホストからの証明書がチェックされます。 クライアントTLS証明書を要求する場合は、有効であることを確認します。 指定できる値は次のとおりです。 |
LDAP 認証設定を構成します。
重要
MongoDB 3.4 以降では、最初に LDAP 認証を有効にしている限り、 $external
データベースにローカル ユーザー ドキュメントが必要なく、LDAP、Kerberos、X.509 証明書を使用してユーザーを認証できます。 このようなユーザーが正常に認証されると、MongoDB は LDAP サーバーに対してクエリを実行して、LDAP ユーザーが持つすべてのグループを取得し、それらのグループを同等の MongoDB ロールに変換します。
LDAP 認可を有効にしない場合は、この手順をスキップします。
次のフィールドに値を入力します。
設定値LDAP Authorization
LDAP 認可を有効にするには、 をONに切り替えます。
Authorization Query Template
LDAP ユーザーの LDAP グループのリストを取得するには、LDAP クエリ URL のテンプレートを指定します。
エージェントの {{mechanism}} を構成します。
MongoDB 配置には複数の認証メカニズムを有効にできますが、Cloud Manager エージェントが使用できる認証メカニズムは1 つだけです。 MongoDB 配置に接続するには、{{mechanism}} を選択します。
Agent Auth Mechanismセクションから {{mechanism}} オプションを選択します。
MongoDB Agent の認証情報を提供します。
Linux を使用している場合は、以下を構成します。
設定値MongoDB Agent Kerberos Principal
Kerberos Principal。
MongoDB Agent Keytab Path
エージェントのキータブのパス。
Windows を使用している場合は、以下を構成します。
設定値MongoDB Agent Username
Active Directory ユーザー名。
MongoDB Agent Password
Active Directory のパスワード。
Domain
Active Directory ドメイン サービス内のドメインの NetBIOS 名。 すべて大文字でなくてはなりません。
LDAP グループの MongoDB ロールを作成します。 (任意)
LDAP 認可を有効にした後、LDAP 認可に指定した LDAP グループごとにカスタム MongoDB ロールを作成する必要があります。