Docs Menu
Docs Home
/
MongoDB Cloud Manager
/
セキュリティ
/
認証による保護

Cloud Manager プロジェクトでの x.509 認証の有効化

項目一覧

  • 前提条件
  • 手順

Cloud Manager を使用すると、Cloud Manager エージェントを含むすべてのクライアントが MongoDB 配置に接続するために使用する認証メカニズムを構成できます。 プロジェクトごとに複数の認証メカニズムを有効にできますが、エージェントには 1 つのメカニズムのみを選択する必要があります。

MongoDB は、安全なTLS/SSL 接続で使用するための x.509 クライアントおよびノード証明書認証をサポートしています。 x.509 認証では、ユーザーや他のノードは、ユーザー名とパスワードではなく、証明書を使用してサーバーに認証できます。

前提条件

重要

トランスポート層セキュリティ の詳細な説明 、 公開鍵インフラストラクチャ X。509 証明書、 認証局 は、このチュートリアルの範囲を超えます。このチュートリアルでは、 TLSに関する事前の知識と、有効な X. 509証明書にアクセスできることを前提としています。

手順

これらの手順では、オートメーションを使用する場合に x.509 認証を構成して有効にする方法について説明します。 Cloud Manager がエージェントを管理しない場合は、x.509 認証を使用するようにエージェントを手動で構成する必要があります。

注意

詳細については、「 X.509 認証用の MongoDB Agent の構成 」を参照してください。

x.509 証明書認証用の既存の配置の準備

重要

x.509 クライアント証明書認証を使用するにはTLS / SSLが必要です。 Cloud Manager が 1 つ以上の既存の配置を管理する場合は、x.509 認証を有効にする前に、MongoDB 配置の各プロセスでTLS / SSLを有効にする必要があります。

注意

TLS / SSLがすでに有効になっている場合は、この手順をスキップできます。

1

MongoDB Cloud MongoDB Cloud ManagerManagerで、プロジェクトのGo {0 ページにGoします。Deployment

  1. まだ表示されていない場合は、目的のプロジェクトを含む組織をナビゲーション バーの Organizations メニューで選択します。

  2. まだ表示されていない場合は、ナビゲーション バーのProjectsメニューから目的のプロジェクトを選択します。

  3. Deployment ページがまだ表示されていない場合は、サイドバーの Deployment をクリックします。

    配置ページが表示されます。

2

Processes ページに移動します。

配置の [ Processes ] タブをクリックします。

[プロセス ]ページが表示されます。

3

Clusters配置に ビューを選択します。

4

プロセスをリストした行で、Modify をクリックします。

5

Advanced Configuration Optionsセクションを展開します。

6

TLS / SSLスタートアップオプションを設定します。

  1. 次の各オプションを追加するには、 Add Optionをクリックします。

    オプション
    必須

    tlsMode

    必須

    requireTLS を選択します。

    tlsCertificateKeyFile

    必須

    サーバー証明書への絶対パスを指定します。

    tlsCertificateKeyFilePassword

    必須

    PEM キー ファイルのパスワードを暗号化した場合は、それを入力します。

    重要: .pem証明書ファイルの暗号化された秘密キーが PKCS #8 にある場合 形式の場合は、 PBES2 を使用する必要があります。 暗号化操作。MongoDB Agent は、他の暗号化操作を使用した PKCS # 8をサポートしていません。

    tlsFIPSMode

    任意

    FIPS モードを有効にする場合はtrueを選択します。

  2. 各オプションを追加したら、[ Add ] をクリックします。

  3. 必要なオプションを追加したら、[ Save ] をクリックします。

7

[Save] をクリックします。

8

Review & Deploy変更内容を確認するには、 をクリックします。

9

Confirm & Deploy変更を配置するには、 をクリックします。

そうでない場合は、 Cancelをクリックすると、追加の変更を行うことができます。

x.509 ノード証明書認証のための既存の配置の構成

注意

この手順は任意です。 これにより、レプリカセットやシャーディングされたクラスターのノードも x.509 証明書を使用して相互に認証できるようになります。 構成されていない場合、レプリカセットとシャーディングされたクラスターのノードは引き続きkeyFile認証を使用して相互に認証できます。

警告

この手順は元に戻すことができません

プロジェクト内の任意の配置に対して x.509 ノード証明書認証を有効にした場合、配置に対して x.509 ノード証明書認証を無効にしたり、プロジェクト レベルで x.509 クライアント認証を無効にしたりすることはできません。

プロジェクトでの配置で x.509 ノード証明書認証を有効にしても、プロジェクト内の他の配置で x.509 ノード証明書認証が有効になったり、必要になったりすることはありません。 オプションで、プロジェクト内の他の配置を有効にして、x.509 ノード証明書認証を使用することができます。

1

MongoDB Cloud ManagerGoDeploymentMongoDB Cloud Managerで、プロジェクトの ページにGoします。

  1. まだ表示されていない場合は、目的のプロジェクトを含む組織をナビゲーション バーの Organizations メニューで選択します。

  2. まだ表示されていない場合は、ナビゲーション バーのProjectsメニューから目的のプロジェクトを選択します。

  3. Deployment ページがまだ表示されていない場合は、サイドバーの Deployment をクリックします。

    配置ページが表示されます。

2

Processes ページに移動します。

配置の [ Processes ] タブをクリックします。

[プロセス ]ページが表示されます。

3

Clusters配置に ビューを選択します。

4

プロセスをリストした行で、Modify をクリックします。

5

Advanced Configuration Optionsセクションを展開します。

6

x.509 起動オプションを設定します。

  1. 各オプションを追加するには、 Add Optionをクリックします。

    オプション

    clusterAuthMode

    x509 を選択します。

    clusterFile

    ノード PEM キー ファイルへのパスを指定します。

  2. 各オプションの後に、[ Add ] をクリックします。

7

[Save] をクリックします。

8

Review & Deploy変更内容を確認するには、 をクリックします。

9

Confirm & Deploy変更を配置するには、 をクリックします。

そうでない場合は、 Cancelをクリックすると、追加の変更を行うことができます。

配置されたプロセスごとにTLS / SSLオプションを構成したら、Cloud Manager プロジェクトの x.509 認証の有効化に進みます。

Cloud Manager プロジェクトでの x.509 クライアント証明書認証の有効化

1

MongoDB Cloud ManagerGoDeploymentMongoDB Cloud Managerで、プロジェクトの ページにGoします。

  1. まだ表示されていない場合は、目的のプロジェクトを含む組織をナビゲーション バーの Organizations メニューで選択します。

  2. まだ表示されていない場合は、ナビゲーション バーのProjectsメニューから目的のプロジェクトを選択します。

  3. Deployment ページがまだ表示されていない場合は、サイドバーの Deployment をクリックします。

    配置ページが表示されます。

2

Security ページに移動します。

配置の [ Security ] タブをクリックします。

[セキュリティ ]ページが表示されます。

3

Security Settings配置の [0}] ダイアログにGoします。

次のいずれかのアクションを実行します。

  • このプロジェクトでTLS 、認証、または認可設定を初めて構成する場合は、 Get Startedをクリックします。

  • このプロジェクトのTLS認証または認可設定をすでに構成している場合は、[ Editをクリックします。

4

TLS 設定を指定します。

フィールド
アクション

MongoDB 配置トランスポート層セキュリティ (TLS)

このスライダーをONに切り替えます。

TLS CA ファイルパス

TLS認証局ファイルは、証明機関からのルート証明書チェーンを含む.pem形式の証明書ファイルです。 MongoDB Agent は、この同じ認証局ファイルを使用して、配置内のすべてのアイテムに接続します。

証明書ファイルの暗号化された秘密キーは、.pem PKCS #1 に含まれている必要があります。 形式。MongoDB Agent は PKCS #8 をサポートしていません。 形式。

MongoDB プロセスを実行しているすべてのホスト上のTLS認証局ファイルへのファイル パスを入力します。

  • 最初のボックスにすべての Linux ホスト上のファイルパスを入力します。

  • 2 番目のボックスにすべての Windows ホスト上のファイル パスを入力します。

これにより、プロジェクト内の MongoDB プロセスのnet.tls.CAFile設定が有効になります。

Validateをクリックして、指定したパスで配置内の各ホストにTLS認証局があることをテストします。

クライアント証明書モード

TLS 対応の MongoDB 配置に接続するときにクライアント アプリケーションまたは MongoDB エージェントが TLS 証明書を提示する必要がある場合は、 を選択します。MongoDB の各配置では、接続時にこれらのクライアント ホストからの証明書がチェックされます。 クライアントTLS証明書を要求する場合は、有効であることを確認します。

指定できる値は次のとおりです。

任意

すべてのクライアントは MongoDB 配置に接続するときに有効なTLS証明書を提示する場合があります。 を mongodtlsModeに設定 しない 場合、MongoDB エージェントは TLSNone 証明書を使用する可能性があります。

必須

このプロジェクト内のすべての MongoDB 配置は、 TLSで暗号化されたネットワーク接続から始まります。 MongoDB 配置に接続するには、すべてのエージェントがTLSを使用する必要があります。

5

認証メカニズムを選択します。

6

LDAP 認証設定を構成します。

重要

MongoDB 3.4 以降では、最初に LDAP 認証を有効にしている限り、 $externalデータベースにローカル ユーザー ドキュメントが必要なく、LDAP、Kerberos、X.509 証明書を使用してユーザーを認証できます。 このようなユーザーが正常に認証されると、MongoDB は LDAP サーバーに対してクエリを実行して、LDAP ユーザーが持つすべてのグループを取得し、それらのグループを同等の MongoDB ロールに変換します。

LDAP 認可を有効にしない場合は、この手順をスキップします。

  1. 次のフィールドに値を入力します。

    設定

    LDAP Authorization

    LDAP 認可を有効にするには、 をONに切り替えます。

    Authorization Query Template

    LDAP ユーザーの LDAP グループのリストを取得するには、LDAP クエリ URL のテンプレートを指定します。

7

エージェントの {{mechanism}} を構成します。

MongoDB 配置には複数の認証メカニズムを有効にできますが、Cloud Manager エージェントが使用できる認証メカニズムは1 つだけです。 MongoDB 配置に接続するには、{{mechanism}} を選択します。

  1. Agent Auth Mechanismセクションから {{mechanism}} オプションを選択します。

  2. MongoDB Agent の認証情報を提供します。

    設定

    MongoDB Agent Username

    エージェントの PEM キー ファイルから生成された LDAPv3 識別名を入力します。

    MongoDB Agent Certificate File

    適切なオペレーティング システムの行で、サーバー上のエージェントの PEM キー ファイルのパスとファイル名を指定します。

    MongoDB Agent Certificate Password

    PEM キー ファイルが暗号化されている場合は、そのファイルにパスワードを入力します。

8

[Save Settings] をクリックします。

9

Review & Deploy変更内容を確認するには、 をクリックします。

10

Confirm & Deploy変更を配置するには、 をクリックします。

そうでない場合は、 Cancelをクリックすると、追加の変更を行うことができます。

11

LDAP グループの MongoDB ロールを作成します。 (任意)

LDAP 認可を有効にした後、LDAP 認可に指定した LDAP グループごとにカスタム MongoDB ロールを作成する必要があります。

戻る

ワークロード(アプリケーション)

次へ

ユーザーとロールの管理

項目一覧