Docs Menu
Docs Home
/
MongoDB Ops Manager
/
セキュリティ
/
認証による保護

MongoDB Ops Managerプロジェクトでの x.509 認証の有効化

項目一覧

MongoDB Ops Managerを使用すると、 MongoDB Ops Managerエージェントを含むすべてのクライアントがMongoDB配置に接続するために使用する認証メカニズムを構成できます。 プロジェクトごとに複数の認証メカニズムを有効にできますが、エージェントには 1 つのメカニズムのみを選択する必要があります。

MongoDB は x をサポートしています。安全な TLS/SSL 接続で使用する509クライアントおよびメンバー証明書認証。 の x. 509認証では、ユーザーや他のメンバーは、ユーザー名とパスワードではなく、証明書を使用してサーバーで認証できます。

前提条件

重要

トランスポート層セキュリティ の完全な説明 公開鍵インフラストラクチャ X。509 証明書、 認証局 は、このチュートリアルの範囲を超えます。このチュートリアルでは、 TLSに関する事前の知識と、有効な X. 509証明書にアクセスできることを前提としています。

手順

これらの手順では、オートメーションを使用する場合に x.509 認証を構成して有効にする方法について説明します。 MongoDB Ops Managerがエージェントを管理しない場合は、x.509 認証を使用するようにエージェントを手動で構成する必要があります。

注意

詳細については、「 X.509 認証用の MongoDB Agent の構成 」を参照してください。

x.509 証明書認証用の既存の配置の準備

重要

x.509 クライアント証明書認証を使用するにはTLS / SSLが必要です。 MongoDB Ops Managerが 1MongoDB つ以上の既存の配置を管理する場合は、x.509 認証を有効にする前に、 配置の各プロセスで TLS / SSL を有効にする必要があります。

注意

TLS / SSLがすでに有効になっている場合は、この手順をスキップできます。

1

Clusters配置の ビューに移動します。

  1. まだ表示されていない場合は、目的のプロジェクトを含む組織をナビゲーション バーの Organizations メニューで選択します。

  2. まだ表示されていない場合は、ナビゲーション バーの Projects メニューから目的のプロジェクトを選択します。

  3. まだ表示されていない場合は、サイドバーの [Deployment] をクリックします。

  1. [Clusters] ビューをクリックします。

2

プロセスをリストした行で、Modify をクリックします。

3

Advanced Configuration Optionsセクションを展開します。

4

TLS / SSLスタートアップオプションを設定します。

  1. 次の各オプションを追加するには、 Add Optionをクリックします。

    オプション
    必須

    tlsMode

    必須

    requireTLS を選択します。

    tlsCertificateKeyFile

    必須

    サーバー証明書への絶対パスを指定します。

    tlsCertificateKeyFilePassword

    必須

    PEM キー ファイルのパスワードを暗号化した場合は、それを入力します。

    重要: .pem証明書ファイルの暗号化された秘密キーが PKCS #8 にある場合 形式の場合は、 PBES2 を使用する必要があります。 暗号化操作。MongoDB Agent は、他の暗号化操作を使用した PKCS # 8をサポートしていません。

    tlsFIPSMode

    任意

    FIPS モードを有効にする場合はtrueを選択します。

  2. 各オプションを追加したら、[ Add ] をクリックします。

  3. 必要なオプションを追加したら、[ Save ] をクリックします。

5

[Save] をクリックします。

6

Review & Deploy変更内容を確認するには、 をクリックします。

7

Confirm & Deploy変更を配置するには、 をクリックします。

そうでない場合は、 Cancelをクリックすると、追加の変更を行うことができます。

x.509 ノード証明書認証のための既存の配置の構成

注意

この手順は任意です。 これにより、レプリカセットやシャーディングされたクラスターのノードも x.509 証明書を使用して相互に認証できるようになります。 構成されていない場合、レプリカセットとシャーディングされたクラスターのノードは引き続きkeyFile認証を使用して相互に認証できます。

警告

この手順は元に戻すことができません

プロジェクト内の任意の配置に対して x.509 ノード証明書認証を有効にした場合、配置に対して x.509 ノード証明書認証を無効にしたり、プロジェクト レベルで x.509 クライアント認証を無効にしたりすることはできません。

プロジェクトでの配置で x.509 ノード証明書認証を有効にしても、プロジェクト内の他の配置で x.509 ノード証明書認証が有効になったり、必要になったりすることはありません。 オプションで、プロジェクト内の他の配置を有効にして、x.509 ノード証明書認証を使用することができます。

重要

MongoDB Agent PEM を構成し、 security.clusterAuthModex509に設定すると、 Client connecting with server's own TLS certificatemongodログファイルに表示され、クライアントがサーバーの独自の TLS 証明書に接続していることを示します。

MongoDB Agent が内部認証構成を使用して MongoDB Ops Manager に接続しているため、これは期待どおりの動作です。 アクションは必要ありません。

1

Clusters配置の ビューに移動します。

  1. まだ表示されていない場合は、目的のプロジェクトを含む組織をナビゲーション バーの Organizations メニューで選択します。

  2. まだ表示されていない場合は、ナビゲーション バーの Projects メニューから目的のプロジェクトを選択します。

  3. まだ表示されていない場合は、サイドバーの [Deployment] をクリックします。

  1. [Clusters] ビューをクリックします。

2

プロセスをリストした行で、Modify をクリックします。

3

Advanced Configuration Optionsセクションを展開します。

4

x.509 起動オプションを設定します。

  1. 各オプションを追加するには、 Add Optionをクリックします。

    オプション

    clusterAuthMode

    x509 を選択します。

    clusterFile

    ノード PEM キー ファイルへのパスを指定します。

  2. 各オプションの後に、[ Add ] をクリックします。

5

[Save] をクリックします。

6

Review & Deploy変更内容を確認するには、 をクリックします。

7

Confirm & Deploy変更を配置するには、 をクリックします。

そうでない場合は、 Cancelをクリックすると、追加の変更を行うことができます。

配置されたプロセスごとにTLS / SSLオプションを構成したら、 MongoDB Ops Managerプロジェクトの x.509 認証の有効化に進みます。

MongoDB Ops Managerプロジェクトでの x.509 クライアント証明書認証の有効化

1

配置用のSecurity Settings ダイアログに移動します。

  1. まだ表示されていない場合は、目的のプロジェクトを含む組織をナビゲーション バーの Organizations メニューで選択します。

  2. まだ表示されていない場合は、ナビゲーション バーの Projects メニューから目的のプロジェクトを選択します。

  3. まだ表示されていない場合は、サイドバーの [Deployment] をクリックします。

  1. [Security] タブをクリックします。

  2. [Settings] タブをクリックします。

  3. 次のいずれかのアクションを実行します。

    • このプロジェクトでTLS 、認証、または認可設定を初めて構成する場合は、 Get Startedをクリックします。

    • このプロジェクトのTLS認証または認可設定をすでに構成している場合は、[ Editをクリックします。

2

TLS 設定を指定します。

フィールド
アクション

MongoDB 配置トランスポート層セキュリティ (TLS)

このスライダーをONに切り替えます。

TLS CA ファイルパス

TLS認証局ファイルは、証明機関からのルート証明書チェーンを含む.pem形式の証明書ファイルです。 MongoDB Agent は、この同じ認証局ファイルを使用して、配置内のすべてのアイテムに接続します。

証明書ファイルの暗号化された秘密キーは、.pem PKCS #1 に含まれている必要があります。 形式。MongoDB Agent は PKCS #8 をサポートしていません。 形式。

MongoDB プロセスを実行しているすべてのホスト上のTLS認証局ファイルへのファイル パスを入力します。

  • 最初のボックスにすべての Linux ホスト上のファイルパスを入力します。

  • 2 番目のボックスにすべての Windows ホスト上のファイル パスを入力します。

これにより、プロジェクト内の MongoDB プロセスのnet.tls.CAFile設定が有効になります。

Validateをクリックして、指定したパスで配置内の各ホストにTLS認証局があることをテストします。

クラスター TLS CA ファイル パス

接続を確立するクライアントによって提示された証明書を検証するために使用される証明機関からのルート証明書チェーンを含む.pemファイル。 相対パスまたは絶対パスを使用して、 .pemファイルのファイル名を指定します。 net.tls.clusterCAFileにはnet.tls.CAFileが設定されている必要があります。

net.tls.clusterCAFileを指定しない場合、クラスターはnet.tls.CAFileオプションで指定された.pemファイルを使用します。

net.tls.clusterCAFile クライアントからサーバー、サーバーからクライアントへのTLS ハンドシェイクの各部分を検証するために、異なる認証局を使用することができます。

クライアント証明書モード

TLS 対応の MongoDB 配置に接続するときにクライアント アプリケーションまたは MongoDB エージェントが TLS 証明書を提示する必要がある場合は、 を選択します。MongoDB の各配置では、接続時にこれらのクライアント ホストからの証明書がチェックされます。 クライアントTLS証明書を要求する場合は、有効であることを確認します。

指定できる値は次のとおりです。

任意

すべてのクライアントは MongoDB 配置に接続するときに有効なTLS証明書を提示する場合があります。 を mongodtlsModeに設定 しない 場合、MongoDB エージェントは TLSNone 証明書を使用する可能性があります。

必須

このプロジェクト内のすべての MongoDB 配置は、 TLSで暗号化されたネットワーク接続から始まります。 MongoDB 配置に接続するには、すべてのエージェントがTLSを使用する必要があります。

3

認証メカニズムを選択します。

MongoDB Agent Connections to Deploymentセクションで、[X.509 Client Certificate (MONGODB-X509)] を選択します。

重要

LDAP 認可を使用していない場合は、MongoDB 配置の$externalデータベースにユーザーを追加する必要があります。 例については、「 x 」を参照してください。 509クライアント証明書認証。

4

LDAP 認証設定を構成します。

重要

MongoDB 3.4 以降では、最初に LDAP 認証を有効にしている限り、 $externalデータベースにローカル ユーザー ドキュメントが必要なく、LDAP、Kerberos、X.509 証明書を使用してユーザーを認証できます。 このようなユーザーが正常に認証されると、MongoDB は LDAP サーバーに対してクエリを実行して、LDAP ユーザーが持つすべてのグループを取得し、それらのグループを同等の MongoDB ロールに変換します。

LDAP 認可を有効にしない場合は、この手順をスキップします。

  1. 次のフィールドに値を入力します。

    設定

    LDAP Authorization

    LDAP 認可を有効にするには、 をONに切り替えます。

    Authorization Query Template

    LDAP ユーザーの LDAP グループのリストを取得するには、LDAP クエリ URL のテンプレートを指定します。

5

エージェントのX.509 Client Certificate (MONGODB-X509) を構成します。

MongoDB 配置には複数の認証メカニズムを有効にできますが、MongoDB Ops Manager エージェントが使用できる認証メカニズムは1 つだけです。 Select X.509 Client Certificate (MONGODB-X509) to connect to your MongoDB deployment.

  1. Agent Auth MechanismセクションからX.509 Client Certificate (MONGODB-X509)オプションを選択します。

  2. MongoDB Agent の認証情報を提供します。

    設定

    MongoDB Agent Username

    エージェントの PEM キー ファイルから生成された LDAPv3 識別名を入力します。

    MongoDB Agent Certificate File

    適切なオペレーティング システムの行で、サーバー上のエージェントの PEM キー ファイルのパスとファイル名を指定します。

    MongoDB Agent Certificate Password

    PEM キー ファイルが暗号化されている場合は、そのファイルにパスワードを入力します。

6

[Save Settings] をクリックします。

7

Review & Deploy変更内容を確認するには、 をクリックします。

8

Confirm & Deploy変更を配置するには、 をクリックします。

そうでない場合は、 Cancelをクリックすると、追加の変更を行うことができます。

9

LDAP グループの MongoDB ロールを作成します。 (任意)

LDAP 認可を有効にした後、LDAP 認可に指定した LDAP グループごとにカスタム MongoDB ロールを作成する必要があります。

戻る

ワークロード(アプリケーション)

次へ

ユーザーとロールの管理

項目一覧