Docs Menu
Docs Home
/
MongoDB Ops Manager
/ /

プロジェクトでの LDAP認証の有効化MongoDB Ops Manager

項目一覧

  • Considerations
  • 手順

注意

MongoDB 8.0以降、 LDAP認証と認可は非推奨です。 この機能は利用可能であり、 MongoDB 8のサポート期間中に変更されずに動作し続けます。 LDAPは将来のメジャー リリースで削除される予定です。

詳しくは、「 LDAP 非推奨 」を参照してください。

MongoDB Ops Managerを使用すると、 MongoDB Ops Managerエージェントを含むすべてのクライアントがMongoDB配置に接続するために使用する認証メカニズムを構成できます。 プロジェクトごとに複数の認証メカニズムを有効にできますが、エージェントには 1 つのメカニズムのみを選択する必要があります。

MongoDB Enterpriseは、 LDAP(Lightweight Directory Access Protocol)サービスへの認証リクエストのプロキシ機能をサポートしています。

LDAP は MongoDB Enterprise ビルドでのみ利用可能です。 ビルドで実行している既存の配置がある場合は、MongoDB Community MongoDB EnterpriseLDAPMongoDB Ops Managerプロジェクトで を有効にする前に 、それらを にアップグレードする 必要があります。

MongoDB Enterprise は、 saslauthdおよびオペレーティング システム ライブラリ経由で、LDAP(Lightweight Directory Access Protocol)サーバーへのシンプルなバインディングと SASL バインディングをサポートしています。

  • MongoDB Enterprise for Linux は、 saslauthdを介して、または MongoDB 3.4 以降ではオペレーティング システム ライブラリを介して、LDAP サーバーにバインドできます。

  • MongoDB バージョン 3.4 以降、MongoDB Enterprise for Windows は、オペレーティング システム ライブラリを介して LDAP サーバーにバインドできます。

LDAP と MongoDB の詳細については、MongoDB マニュアルの 「 LDAP プロキシ認証 」セクションと 「 LDAP 認証 」セクションを参照してください。LDAP と SASL の設定については、このドキュメントの範囲外です。

この手順では、オートメーションを使用する場合に LDAP認証を構成して有効にする方法について説明します。 MongoDB Ops Managerがモニタリングまたはバックアップを管理しない場合は、 LDAPを使用するようにそれらを手動で構成する必要があります。 LDAPを構成するには、「 LDAP 用のMongoDB Agent の構成」を参照してください。

注意

プロジェクトの認証と TLS 設定をリセットする場合は、まず MongoDB Ops Manager がプロジェクト内で管理する MongoDB 配置の管理を解除します。

1
  1. まだ表示されていない場合は、目的のプロジェクトを含む組織をナビゲーション バーの Organizations メニューで選択します。

  2. まだ表示されていない場合は、ナビゲーション バーの Projects メニューから目的のプロジェクトを選択します。

  3. まだ表示されていない場合は、サイドバーの [Deployment] をクリックします。

  1. [Security] タブをクリックします。

  2. [Settings] タブをクリックします。

  3. 次のいずれかのアクションを実行します。

    • このプロジェクトでTLS 、認証、または認可設定を初めて構成する場合は、 Get Startedをクリックします。

    • このプロジェクトのTLS認証または認可設定をすでに構成している場合は、[ Editをクリックします。

2
フィールド
アクション

MongoDB 配置トランスポート層セキュリティ (TLS)

このスライダーをONに切り替えます。

TLS CA ファイルパス

TLS認証局ファイルは、証明機関からのルート証明書チェーンを含む.pem形式の証明書ファイルです。 MongoDB Agent は、この同じ認証局ファイルを使用して、配置内のすべてのアイテムに接続します。

.pem証明書ファイルの暗号化された秘密キーは、 PKCS #1 内になければなりません 形式。MongoDB Agent は PKCS #8 をサポートしていません。 形式。

MongoDB プロセスを実行しているすべてのホスト上のTLS認証局ファイルへのファイル パスを入力します。

  • 最初のボックスにすべての Linux ホスト上のファイルパスを入力します。

  • 2 番目のボックスにすべての Windows ホスト上のファイル パスを入力します。

これにより、プロジェクト内の MongoDB プロセスのnet.tls.CAFile設定が有効になります。

Validateをクリックして、指定したパスで配置内の各ホストにTLS認証局があることをテストします。

クラスター TLS CA ファイル パス

接続を確立するクライアントによって提示された証明書を検証するために使用される証明機関からのルート証明書チェーンを含む.pemファイル。 相対パスまたは絶対パスを使用して、 .pemファイルのファイル名を指定します。 net.tls.clusterCAFileにはnet.tls.CAFileが設定されている必要があります。

net.tls.clusterCAFileを指定しない場合、クラスターはnet.tls.CAFileオプションで指定された.pemファイルを使用します。

net.tls.clusterCAFile クライアントからサーバー、サーバーからクライアントへのTLS ハンドシェイクの各部分を検証するために、異なる認証局を使用することができます。

クライアント証明書モード

TLS 対応の MongoDB 配置に接続するときにクライアント アプリケーションまたは MongoDB エージェントが TLS 証明書を提示する必要がある場合は、 を選択します。MongoDB の各配置では、接続時にこれらのクライアント ホストからの証明書がチェックされます。 クライアントTLS証明書を要求する場合は、有効であることを確認します。

指定できる値は次のとおりです。

任意

すべてのクライアントは MongoDB 配置に接続するときに有効なTLS証明書を提示する場合があります。 を mongodtlsModeに設定 しない 場合、MongoDB エージェントは TLSNone 証明書を使用する可能性があります。

必須

このプロジェクト内のすべての MongoDB 配置は、 TLSで暗号化されたネットワーク接続から始まります。 MongoDB 配置に接続するには、すべてのエージェントがTLSを使用する必要があります。

警告

LDAP(軽量ディレクトリ アクセス プロトコル)で TLS(トランスポート レイヤー セキュリティ)/SSL(セキュア ソケット レイヤー)を使用することを推奨

デフォルトでは、 LDAPトラフィックはプレーン テキストとして送信されます。 つまり、認証情報(ユーザー名とパスワード)がスニペットやリプレイなどの基本的なネットワークの攻撃に公開されます。 LDAPS TLS / SSL 経由の LDAP )を使用して認証を暗号化します。Active Directory などの多くの最新のディレクトリ サービスでは、暗号化された接続が必要です。

3
  1. MongoDB Agent Connections to Deploymentセクションで、[LDAP] を選択します。

  2. LDAP認証の適切なタイプを選択します。

    重要

    • LDAP 認可を使用している場合は、 Native LDAP Authenticationを選択する必要があります。

    • LDAP 認可を使用していない場合は、MongoDB 配置の$externalデータベースにユーザーを追加する必要があります。 例については、「 LDAP 認証 」を参照してください。

4

重要

MongoDB 3.4 以降では、最初に LDAP 認証を有効にしている限り、 $externalデータベースにローカル ユーザー ドキュメントがある必要なく、LDAP、Kerberos、または X.509 証明書を使用してユーザーを認証できます。 このようなユーザーが正常に認証されると、MongoDB は LDAP サーバーに対してクエリを実行して、LDAP ユーザーが持つすべてのグループを取得し、それらのグループを同等の MongoDB ロールに変換します。

これらの変更を適用すると、 MongoDBプロセスはローリング方式で再起動します。

前の手順でSaslauthdを選択した場合は、この手順をスキップします。

Native LDAP Authenticationを選択した場合は、次の手順を実行します。

  1. 次の値を指定します。

    設定

    Server URL

    1 つ以上の LDAP サーバーのhostname:portの組み合わせを指定します。

    輸送セキュリティ

    LDAP クエリを暗号化するには、 TLSを選択します。 LDAP クエリを暗号化する必要がない場合は、 Noneを選択します。

    タイムアウト(ミリ秒)

    認証リクエストがタイムアウトするまでの待機時間を指定します。

    バインド方法

    SASLまたはSimpleのいずれかを選択します。

    重要: Simpleバインド方法を選択する場合、 Transport SecurityからTLSを選択します。 Simpleバインド方法ではパスワードがプレーン テキストで渡されるためです。

    SASL メカニズム

    MongoDB が LDAP サーバーで使用する SASL 認証サービスを指定します。

    クエリユーザー(LDAP バインド DN)

    LDAP サーバーに接続するときに MongoDB がバインドする LDAP 識別名を指定します。

    クエリ パスワード(LDAP バインド DN)

    LDAP サーバーに接続するときに MongoDB がバインドするパスワードを指定します。

    LDAP ユーザー キャッシュ無効化間隔(s)

    MongoDB が LDAP ユーザー キャッシュをフラッシュするまでの待機時間を指定します。 デフォルトは30秒です。

    ユーザーから識別名へのマッピング

    認証された MongoDB ユーザー名に対して MongoDB が実行する順序付き変換を提供する JSON ドキュメントの配列を指定します。 次に、MongoDB は変換されたユーザー名を LDAP DN と照合します。

    Validate LDAP Server Config

    LDAP サーバー構成を検証するにはONを選択し、検証をスキップするにはOFFを選択します。

    ONと構成が無効な場合、MongoDB 配置は開始されません。

  2. LDAP Authorizationセクションで、次のフィールドに値を入力します。

    設定

    LDAP Authorization

    LDAP 認可を有効にするには、 をONに切り替えます。

    Authorization Query Template

    LDAP ユーザーの LDAP グループのリストを取得するには、LDAP クエリ URL のテンプレートを指定します。

    User to Distinguished Name Mapping

    認証された MongoDB ユーザー名に対して MongoDB が実行する順序付き変換を提供する JSON ドキュメントの配列を指定します。 次に、MongoDB は変換されたユーザー名を LDAP DN と照合します。

5

注意

記憶

MongoDB Ops Managerでは、エージェントが配置ごとに 1 つのメカニズムを使用するように制限されています。

  1. Agent Auth MechanismセクションからLDAPオプションを選択します。

  2. MongoDB Agent の認証情報を提供します。

    設定

    MongoDB Agent Username

    LDAPユーザー名を入力します。

    MongoDB Agent Password

    エージェントのLDAPユーザー名 のパスワードを入力します。

    MongoDB Agent LDAP グループ DN

    LDAP 認証を有効にした場合は、MongoDB Agent ユーザーがメンバーであるグループの DN を入力します。

6
7
8

そうでない場合は、 Cancelをクリックすると、追加の変更を行うことができます。

9

LDAP 認可を有効にした後、LDAP 認可に指定した LDAP グループごとにカスタム MongoDB ロールを作成する必要があります。

戻る

ユーザー名/パスワード認証の使用