MongoDB の認証と認可の構成
MongoDB 配置では、このページで説明されているアクセス制御メカニズムを使用できます。 が配置を追加するときに認証設定を指定します。 配置を追加した後にセキュリティ設定を編集できます。
配置でアクセス制御を使用する場合、MongoDB Agent は適切なアクセス権を持つ MongoDB ユーザーとして配置で認証される必要があります。 MongoDB Ops Manager Application を通じて認証を有効にして構成します。
Considerations
アクセス制御を有効にするには、クライアントがデータベースにアクセスできるようにMongoDB ユーザーを作成する 必要があります。
アクセス制御を有効にすると、 MongoDB Ops ManagerではMongoDB Agentのユーザーが自動的に作成されます。 MongoDB Agent は、他のユーザーを管理および管理できます。 そのため、最初に作成するユーザーは任意のロールを持つことができます。
MongoDB Ops Manager グループに認証メカニズムを選択すると、MongoDB Ops Manager グループ内のすべての配置に対するアクセス制御が有効になります。
注意
推奨事項
不整合を回避するには、 MongoDB Ops Managerインターフェースを使用してMongoDB配置のユーザーとロールを管理します。
アクセス制御メカニズム
SCRAM-SHA-1 および SCRAM-SHA-256
MongoDB は、パスワードを使用してユーザーを認証するために、チャレンジ レスポンス メカニズムの次の実装をサポートしています。
次の表では、リリース シリーズのデフォルトの認証メカニズムは、および受け入れ可能な認証メカニズムは でマークされています。
MongoDB リリース シリーズ | |||
|---|---|---|---|
5.x.x | |||
4.4.x | |||
4.2.x | |||
4.0.x | |||
3.6.x | |||
3.4.x |
MongoDB Ops Managerプロジェクトで SCRAM-SHA-1 または SCRAM-SHA-256 を有効にするには、次のタスクを実行します。
LDAP
MongoDB Enterpriseはユーザーのプロキシ認証をサポートしています。 これにより、管理者は MongoDB クラスターを構成して、指定されたLDAPサービスに認証リクエストをプロキシすることで、ユーザーを認証できます。
LDAPMongoDB Ops Managerプロジェクトで を有効にするには、次のタスクを実行します。
Kerberos
MongoDB Enterpriseは Kerberos サービスを使用する認証をサポートしています。 Kerberos は IETF ( RFC4120 です 大規模なクライアント/サーバー システム向けの )標準認証プロトコルを使用します。
Kerberos と MongoDB を一緒に使用するには、適切に構成された Kerberos 配置、MongoDB 用のKerberos サービス プリンシパルを構成し、 Kerberos ユーザー プリンシパルを追加する必要があります。
KerberosMongoDB Ops Managerプロジェクトで を有効にするには、次のタスクを実行します。
x.509
MongoDB は、安全なTLS 接続で使用されるための X.509 証明書認証をサポートしています。 X.509 クライアント認証では、クライアントはユーザー名とパスワードではなく、証明書を使用してサーバーに認証できます。
MongoDB Ops Managerプロジェクトで X.509 認証を有効にするには、次のタスクを実行します。
MongoDB Ops Manager が監視するプロセスのメンバーシップ認証に、X. 509証明書を使用することもできます。
ホスト認証情報の編集
MongoDB Ops Managerインターフェースの認証メカニズムを使用するように配置を構成できます。 「 MongoDB ユーザーとロールの管理」では、各認証メカニズムを使用するように既存の配置を構成する方法について説明します。