Docs Menu
Docs Home
/
MongoDB Ops Manager
/
セキュリティ
/
認証による安全な MongoDB デプロイ

プロジェクトでの Kerberos認証の有効化MongoDB Ops Manager

項目一覧

  • Overview
  • Considerations
  • 手順

Overview

MongoDB Ops Managerを使用すると、 MongoDB Ops Managerエージェントを含むすべてのクライアントがMongoDB配置に接続するために使用する認証メカニズムを構成できます。 プロジェクトごとに複数の認証メカニズムを有効にできますが、エージェントには 1 つのメカニズムのみを選択する必要があります。

MongoDB Enterpriseは Kerberos サービスを使用する認証をサポートしています。 Kerberos は、大規模なクライアント/サーバー システム向けの業界標準の認証プロトコルです。

重要

Kerberos 配置の セットアップと構成 については、このドキュメントの範囲外です。 このチュートリアルでは、各エージェントに対して Kerberos プリンシパルを構成し、各エージェントに対して有効なキータブ ファイルがあることを前提としています。

Kerberos を使用して MongoDB を認証するには、次の条件を満たす必要があります。

  1. 適切に構成された Kerberos 配置があること

  2. MongoDB のKerberos サービス プリンシパルを構成し、

  3. エージェントのKerberos ユーザー プリンシパルを追加します。

MongoDB マニュアルの「 Kerberos 認証」セクションでは、Kerberos で MongoDB を使用する方法の詳細について説明しています。

Considerations

Kerberos (GSSAPI) は MongoDB Enterprise ビルドでのみ利用可能です。 ビルドで実行している既存の配置がある場合は、MongoDB Community MongoDB EnterpriseKerberos (GSSAPI)MongoDB Ops Managerプロジェクトで を有効にする前に 、それらを にアップグレードする 必要があります。

このチュートリアルでは、 プロジェクトのKerberos 1 つでMongoDB Ops Manager を有効にする方法と、 対応の配置に接続するようにMongoDB Ops Manager Kerberosエージェントを構成する方法について説明します。

注意

プロジェクトの認証と TLS 設定をリセットする場合は、まず MongoDB Ops Manager がプロジェクト内で管理する MongoDB 配置の管理を解除します。

手順

これらの手順では、オートメーションを使用する場合に Kerberos 認証を構成して有効にする方法について説明します。 MongoDB Ops Managerがモニタリングまたはバックアップを管理しない場合は、 Kerberosを使用して認証するようにそれらを手動で構成する必要があります。

手順については、「 Kerberos 用の MongoDB Agent の構成」を参照してください。

Kerberos ベースの認証を行うために既存の Linux 配置を構成する

MongoDB Ops ManagerLinuxMongoDBを使用してプロジェクト内の での既存の配置を管理する場合は、プロジェクトで 認証を有効にする前に、プロジェクト内のすべての 配置をKerberos Kerberos認証用に構成する必要があります。

1

Clusters配置の ビューに移動します。

  1. まだ表示されていない場合は、目的のプロジェクトを含む組織をナビゲーション バーの Organizations メニューで選択します。

  2. まだ表示されていない場合は、ナビゲーション バーの Projects メニューから目的のプロジェクトを選択します。

  3. まだ表示されていない場合は、サイドバーの [Deployment] をクリックします。

  1. [Clusters] ビューをクリックします。

2

プロセスをリストした行で、Modify をクリックします。

3

Advanced Configuration Optionsセクションを展開します。

4

kerberosKeytabオプションを設定します。

kerberosKeytabがまだ設定されていない場合:

  1. [Add Option] をクリックします。

  2. Select a Startup Optionリストを展開します。

  3. を検索してkerberosKeytabオプションを選択し、 Addをクリックします。

  4. kerberosKeytab列に、キータブ ファイルへの絶対パスを指定します。

  5. [Save] をクリックします。

Kerberos各配置でKerberos オプションを構成したら、MongoDB Ops Manager プロジェクトで の有効化に進むことができます。

KerberosMongoDB Ops Managerプロジェクトでの の有効化

1

配置用のSecurity Settings ダイアログに移動します。

  1. まだ表示されていない場合は、目的のプロジェクトを含む組織をナビゲーション バーの Organizations メニューで選択します。

  2. まだ表示されていない場合は、ナビゲーション バーの Projects メニューから目的のプロジェクトを選択します。

  3. まだ表示されていない場合は、サイドバーの [Deployment] をクリックします。

  1. [Security] タブをクリックします。

  2. [Settings] タブをクリックします。

  3. 次のいずれかのアクションを実行します。

    • このプロジェクトで TLS 、認証、または認可設定を初めて構成する場合は、 Get Startedをクリックします。

    • このプロジェクトのTLS認証または認可設定をすでに構成している場合は、[ Editをクリックします。

2

オプション: TLS 設定を指定します。

フィールド
アクション
MongoDB 配置トランスポート層セキュリティ (TLS)
このスライダーをONに切り替えます。
TLS CA ファイルパス

TLS認証局ファイルは、証明機関からのルート証明書チェーンを含む.pem形式の証明書ファイルです。 MongoDB Agent は、この同じ認証局ファイルを使用して、配置内のすべてのアイテムに接続します。

.pem証明書ファイルの暗号化された秘密キーは、 PKCS #1 内になければなりません 形式。MongoDB Agent は PKCS #8 をサポートしていません。 形式。

MongoDB プロセスを実行しているすべてのホスト上のTLS認証局ファイルへのファイル パスを入力します。

  • 最初のボックスにすべての Linux ホスト上のファイルパスを入力します。

  • 2 番目のボックスにすべての Windows ホスト上のファイル パスを入力します。

これにより、プロジェクト内の MongoDB プロセスのnet.tls.CAFile設定が有効になります。

Validateをクリックして、指定したパスで配置内の各ホストにTLS認証局があることをテストします。

クラスター TLS CA ファイル パス

接続を確立するクライアントによって提示された証明書を検証するために使用される証明機関からのルート証明書チェーンを含む.pemファイル。 相対パスまたは絶対パスを使用して、 .pemファイルのファイル名を指定します。 net.tls.clusterCAFileにはnet.tls.CAFileが設定されている必要があります。

net.tls.clusterCAFileを指定しない場合、クラスターはnet.tls.CAFileオプションで指定された.pemファイルを使用します。

net.tls.clusterCAFile クライアントからサーバー、サーバーからクライアントへのTLS ハンドシェイクの各部分を検証するために、異なる認証局を使用することができます。

クライアント証明書モード

TLS 対応の MongoDB 配置に接続するときにクライアント アプリケーションまたは MongoDB エージェントが TLS 証明書を提示する必要がある場合は、 を選択します。MongoDB の各配置では、接続時にこれらのクライアント ホストからの証明書がチェックされます。 クライアントTLS証明書を要求する場合は、有効であることを確認します。

指定できる値は次のとおりです。

任意
すべてのクライアントは MongoDB 配置に接続するときに有効なTLS証明書を提示する場合があります。 を mongodtlsModeに設定 しない 場合、MongoDB エージェントは TLSNone 証明書を使用する可能性があります。
必須
このプロジェクト内のすべての MongoDB 配置は、 TLSで暗号化されたネットワーク接続から始まります。 MongoDB 配置に接続するには、すべてのエージェントがTLSを使用する必要があります。

Kerberos (GSSAPI)認証で使用する場合は TLS は必要ありません。

3

認証メカニズムを選択します。

  1. MongoDB Agent Connections to Deploymentセクションで、[Kerberos (GSSAPI)] を選択します。

  2. SASL サービス名 を入力する 。

    SASL Service Nameは、 mongodまたはmongos の Kerberos サービス プリンシパル名です。

重要

LDAP 認可を使用していない場合は、MongoDB 配置の$externalデータベースにユーザーを追加する必要があります。 例については、「 Kerberos 認証 」を参照してください。

4

LDAP 認証設定を構成します。

重要

MongoDB 3.4 以降では、最初に LDAP 認証を有効にしている限り、 $externalデータベースにローカル ユーザー ドキュメントが必要なく、LDAP、Kerberos、X.509 証明書を使用してユーザーを認証できます。 このようなユーザーが正常に認証されると、MongoDB は LDAP サーバーに対してクエリを実行して、LDAP ユーザーが持つすべてのグループを取得し、それらのグループを同等の MongoDB ロールに変換します。

LDAP 認可を有効にしない場合は、この手順をスキップします。

  1. 次のフィールドに値を入力します。

    設定
    LDAP Authorization
    LDAP 認可を有効にするには、 をONに切り替えます。
    Authorization Query Template
    LDAP ユーザーの LDAP グループのリストを取得するには、LDAP クエリ URL のテンプレートを指定します。
5

エージェントのKerberos (GSSAPI) を構成します。

MongoDB 配置には複数の認証メカニズムを有効にできますが、MongoDB Ops Manager エージェントが使用できる認証メカニズムは1 つだけです。 Select Kerberos (GSSAPI) to connect to your MongoDB deployment.

  1. Agent Auth MechanismセクションからKerberos (GSSAPI)オプションを選択します。

  2. MongoDB Agent の認証情報を提供します。

    Linux を使用している場合は、以下を構成します。

    設定
    MongoDB Agent Kerberos Principal
    Kerberos Principal。
    MongoDB Agent Keytab Path
    エージェントのキータブのパス。

    Windows を使用している場合は、以下を構成します。

    設定
    MongoDB Agent Username
    Active Directory ユーザー名。
    MongoDB Agent Password
    Active Directory のパスワード。
    Domain
    Active Directory ドメイン サービス内のドメインの NetBIOS 名。 すべて大文字でなくてはなりません。
6

をクリックします。<a class=\" \" href=\" \" title=\" \"><svg xmlns=\" \" width=\" \" height=\" \" fill=\" \" viewbox=\" \" class=\" \" role=\" \" aria-label=\" \"><path fill=\" \" d=\" \"> <path fill=\" \" d=\" \">Save Settings

7

Review & Deploy変更内容を確認するには、 をクリックします。

8

Confirm & Deploy変更を配置するには、 をクリックします。

そうでない場合は、 Cancelをクリックすると、追加の変更を行うことができます。

9

LDAP グループの MongoDB ロールを作成します。 (任意)

LDAP 認可を有効にした後、LDAP 認可に指定した LDAP グループごとにカスタム MongoDB ロールを作成する必要があります。

戻る

LDAP 認証の有効化

次へ

OIDC 認証の有効化