X.509 認証用の MongoDB Agent の構成
MongoDB Ops Managerを使用すると、 MongoDB Ops Managerエージェントを含むすべてのクライアントがMongoDB配置に接続するために使用する認証メカニズムを構成できます。 プロジェクトごとに複数の認証メカニズムを有効にできますが、エージェントには 1 つのメカニズムのみを選択する必要があります。
MongoDB は X.509 証明書 をサポートしています 安全な TLS 接続で使用するための認証。X. 509クライアント認証では、クライアントはユーザー名とパスワードではなく証明書を使用してサーバーで認証できます。
注意
オートメーションを使用すると、 MongoDB Ops ManagerがMongoDB Agent認証を管理します。 認証の詳細については、 「 MongoDB Ops Managerプロジェクトで x.509 認証を有効にする 」を参照してください。
Considerations
トランスポート層セキュリティ の詳細な説明 、 公開鍵インフラストラクチャ 、 X。509 証明書、 認証局 は、このチュートリアルの範囲を超えます。このチュートリアルでは、 TLSに関する事前の知識と、有効な X. 509証明書にアクセスできることを前提としています。
前提条件
MongoDB Ops Managerの X.509 認証を有効にするには、単一の認証局(CA)が生成および署名した有効なTLS証明書を取得する必要があります。 証明書要件の詳細については、「 クライアント x509 」を参照してください。 MongoDB マニュアルの 証明 書。
X.509 クライアント証明書認証では、配置に対して TLS を 有効にして構成する 必要があります。
手順
このチュートリアルでは、X. 509証明書認証とTLSを使用するように MongoDB 配置をすでに構成している ことを前提としています。 行っていない場合は、 「 X. 509証明書を使用したクライアントの認証と TLS 用の mongod と mongos の構成 」チュートリアルを参照してください。
X.509 からの MongoDB ユーザーの作成 subject
オートメーションがアクティブ化されている場合、MongoDB Ops Manager は MongoDB Agent 認証を管理します。
MongoDB Agent認証用に X.509 を構成するには、「 MongoDB Ops Managerプロジェクトで x.509 クライアント証明書認証を有効にする 」を参照してください。
MongoDB Agent が MongoDB 配置に接続するには、クライアント証明書のsubject値に対応する配置上に MongoDB ユーザーを作成する必要があります。
MongoDB ユーザーを作成する場所は、 LDAP 認可を使用しているかどうかによって異なります。
注意
MongoDB 8.0 以降、LDAP による認証と承認は非推奨です。この機能は利用可能であり、MongoDB 8 の有効期間を通じて変更なく動作し続けます。LDAP は今後のメジャーリリースで削除される予定です。
詳細については、「LDAP の廃止」を参照してください。
MongoDB 配置で LDAP 認可を使用している場合は、 LDAP サーバー上の MongoDB Agent 用の LDAP ユーザーと LDAP グループを作成する必要があります。LDAPユーザーとグループを作成したら、 LDAPグループを配置のadminデータベース内の MongoDB ロールにマッピングします。
警告
LDAP認証を使用する場合は、 $externalデータベースに MongoDB ユーザーを作成しないでください。 MongoDB 3.4以降は、MongoDB ユーザーが$externalデータベースに存在し、かつLDAP認証が有効になっている場合、起動しません。
MongoDB Agent を表す MongoDB ユーザーの場合:
という名前の LDAP サーバーに、クライアント証明書の 値をユーザー名として使用する新しい LDAP ユーザーを作成します。
subjectMongoDB Agent のロールと一致する名前のLDAPグループを作成します。
適切な権限を持つ MongoDB Agent のロールを
adminデータベースに作成します。注意
オートメーションがアクティブ化されると、オートメーションはLDAP認証用の MongoDB Agent ユーザーのロールを自動的に作成します。
LDAPユーザーをLDAPグループに割り当てます。
Tip
以下も参照してください。
次の方法を学ぶには: | 詳細は、次を参照してください: |
|---|---|
LDAPユーザーの作成 | LDAP実装のドキュメント。 |
LDAPグループの作成 | LDAP実装のドキュメント。 |
MongoDB Agent に適切なロールを割り当てる | |
LDAPグループと MongoDB ロールをマッピングする | MongoDB マニュアルの LDAP 認可 ページの「 LDAP ロール」セクション 。 |
MongoDB Ops Manager 自動化を使用せずに LDAP 認証を構成 | MongoDB マニュアルのLDAP 認証ページ 。 |
LDAP認可を使用していない場合は、MongoDB 配置の$externalデータベースに MongoDB Agent のユーザー名として、クライアント証明書のsubject値を追加する必要があります。 LDAP認証がない場合、MongoDB は$externalデータベースを使用して X. 509に対してユーザーを認証します。
注意
MongoDB Agent に適したロールを見つけるには、「 MongoDB Agent に必要なアクセス権 」を参照してください。
次のコマンドを使用して、 mongoshからユーザーを作成します。
db.getSiblingDB("$external").createUser( { user : "<x.509 subject>", roles : [ { role : "clusterAdmin", db : "admin" }, { role : "readWriteAnyDatabase", db : "admin" }, { role : "userAdminAnyDatabase", db : "admin" }, { role : "dbAdminAnyDatabase", db : "admin" }, { role : "backup", db : "admin" }, { role : "restore", db : "admin" } ] } )
必要なアクセス権については、「 MongoDB Agent に必要なアクセス権 」を参照してください。
各 MongoDB ユーザーには独自の X. 509証明書が必要です。
MongoDB Agent 構成ファイルの編集
X.509 認証を使用するには、 TLS用の MongoDB Agent を構成する必要があります。
MongoDB Agent 構成ファイル で信頼できる CA 証明書への絶対ファイル パスを指定します。
MongoDB Ops Manager の配置でTLSを有効にした場合は、 TLSを使用するように MongoDB Agent を構成する必要があります。 TLSを使用するように MongoDB Agent を構成するには、MongoDB インスタンスの証明書に署名した信頼できる証明機関の証明書が必要です。
MongoDB Agent の インストール ディレクトリで、構成ファイルを編集して、 httpsCAFileフィールドにPEM形式の 1 つ以上の証明書を含むファイルのパスを設定します。
MongoDB Agent の構成ファイルの場所はC:\MMSData\Automation\automation-agent.configです。
注意
MongoDB Agent の構成ファイルの名前は、レガシーエージェントを使用している場合に簡単にアップグレードできるようにする方法として、 automation-agent.configと呼ばれています。
MongoDB Agent の構成ファイルの場所は/etc/mongodb-mms/automation-agent.configです。
注意
MongoDB Agent の構成ファイルの名前は、レガシーエージェントを使用している場合に簡単にアップグレードできるようにする方法として、 automation-agent.configと呼ばれています。
MongoDB Agent の構成ファイルの場所は/etc/mongodb-mms/automation-agent.configです。
注意
MongoDB Agent の構成ファイルの名前は、レガシーエージェントを使用している場合に簡単にアップグレードできるようにする方法として、 automation-agent.configと呼ばれています。
MongoDB Agent の構成ファイルの場所は/path/to/install/local.configです。
例
mongoshを介して接続するには、次のコマンドを使用します。
mongosh --tls --tlsCAFile /etc/ssl/ca.pem example.net:27017
次に、構成ファイルを変更し、次のキーと値のペアを設定します。
httpsCAFile=/etc/ssl/ca.pem
構成ファイルを保存します。
これらの設定の詳細については、「 MongoDB Ops Manager TLS設定 」を参照してください。
MongoDB Agent を再起動します。
「 TLS を使用するように MongoDB Agent を構成する 」では、 TLS 用の MongoDB Agent を構成する方法の詳細については、「 TLS用の MongoDB Agent 」を構成する方法の詳細について説明します。
を構成した後 、「 プロジェクトで MongoDB Agentx.509 認証を有効 にする 」で説明されているように、MongoDB Ops Manager インターフェースで X.509MongoDB Ops Manager 認証メカニズムを構成します。