MongoDB Ops Managerプロジェクトでの x.509 認証の有効化

項目一覧

前提条件

手順

MongoDB Ops Manager v6.0 は 1 月 2025 で EOL になります。可能な限りすぐに MongoDB Ops Manager の上位バージョンにアップグレードしてください。

MongoDB Ops Managerを使用すると、 MongoDB Ops Managerエージェントを含むすべてのクライアントがMongoDB配置に接続するために使用する認証メカニズムを構成できます。プロジェクトごとに複数の認証メカニズムを有効にできますが、エージェントには 1 つのメカニズムのみを選択する必要があります。

MongoDB は x をサポートしています。安全な TLS/SSL 接続で使用する509クライアントおよびメンバー証明書認証。の x. 509認証では、ユーザーや他のメンバーは、ユーザー名とパスワードではなく、証明書を使用してサーバーで認証できます。

前提条件

重要

トランスポート層セキュリティの完全な説明、公開鍵インフラストラクチャ、 X。509 証明書、認証局は、このチュートリアルの範囲を超えます。このチュートリアルでは、 TLSに関する事前の知識と、有効な X. 509証明書にアクセスできることを前提としています。

手順

これらの手順では、オートメーションを使用する場合に x.509 認証を構成して有効にする方法について説明します。 MongoDB Ops Managerがエージェントを管理しない場合は、x.509 認証を使用するようにエージェントを手動で構成する必要があります。

注意

詳細については、「 X.509 認証用の MongoDB Agent の構成」を参照してください。

x.509 証明書認証用の既存の配置の準備

重要

x.509 クライアント証明書認証を使用するにはTLS / SSLが必要です。 MongoDB Ops Managerが 1MongoDB つ以上の既存の配置を管理する場合は、x.509 認証を有効にする前に、配置の各プロセスで TLS / SSL を有効にする必要があります。

注意

TLS / SSLがすでに有効になっている場合は、この手順をスキップできます。

配置の Clusters ビューに移動します。

まだ表示されていない場合は、目的のプロジェクトを含む組織をナビゲーションバーの Organizations メニューで選択します。
まだ表示されていない場合は、ナビゲーションバーの Projects メニューから目的のプロジェクトを選択します。
まだ表示されていない場合は、サイドバーの [Deployment] をクリックします。

[Clusters] ビューをクリックします。

プロセスをリストした行で、Modify をクリックします。

Advanced Configuration Optionsセクションを展開します。

TLS / SSL 起動オプションを設定します。

次の各オプションを追加するには、 Add Optionをクリックします。

オプション	必須	値
`tlsMode`	必須	`requireTLS` を選択します。
`tlsCertificateKeyFile`	必須	サーバー証明書への絶対パスを指定します。
`tlsCertificateKeyFilePassword`	必須	PEM キーファイルのパスワードを暗号化した場合は、それを入力します。重要 `.pem`証明書ファイルの暗号化された秘密キーが PKCS #8 にある場合形式の場合は、 PBES2 を使用する必要があります。暗号化操作。MongoDB Agent は、他の暗号化操作を使用した PKCS # 8をサポートしていません。
`tlsFIPSMode`	任意	FIPS モードを有効にする場合は`true`を選択します。

各オプションを追加したら、[ Add ] をクリックします。
必要なオプションを追加したら、[ Save ] をクリックします。

Save[ をクリックします。

Review & Deploy変更内容を確認するには、をクリックします。

Confirm & Deploy変更を配置するには、をクリックします。

そうでない場合は、 Cancelをクリックすると、追加の変更を行うことができます。

x.509 ノード証明書認証のための既存の配置の構成

注意

この手順は任意です。これにより、レプリカセットやシャーディングされたクラスターのノードも x.509 証明書を使用して相互に認証できるようになります。構成されていない場合、レプリカセットとシャーディングされたクラスターのノードは引き続きkeyFile認証を使用して相互に認証できます。

警告

この手順は元に戻すことができません

プロジェクト内の任意の配置に対して x.509 ノード証明書認証を有効にした場合、配置に対して x.509 ノード証明書認証を無効にしたり、プロジェクトレベルで x.509 クライアント認証を無効にしたりすることはできません。

プロジェクトでの配置で x.509 ノード証明書認証を有効にしても、プロジェクト内の他の配置で x.509 ノード証明書認証が有効になったり、必要になったりすることはありません。オプションで、プロジェクト内の他の配置を有効にして、x.509 ノード証明書認証を使用することができます。

重要

MongoDB Agent PEM を構成し、 security.clusterAuthModeをx509に設定すると、 Client connecting with server's own TLS certificateがmongodログファイルに表示され、クライアントがサーバーの独自の TLS 証明書に接続していることを示します。

MongoDB Agent が内部認証構成を使用して MongoDB Ops Manager に接続しているため、これは期待どおりの動作です。アクションは必要ありません。

配置の Clusters ビューに移動します。

まだ表示されていない場合は、目的のプロジェクトを含む組織をナビゲーションバーの Organizations メニューで選択します。
まだ表示されていない場合は、ナビゲーションバーの Projects メニューから目的のプロジェクトを選択します。
まだ表示されていない場合は、サイドバーの [Deployment] をクリックします。

[Clusters] ビューをクリックします。

プロセスをリストした行で、Modify をクリックします。

Advanced Configuration Optionsセクションを展開します。

x.509 起動オプションを設定します。

各オプションを追加するには、 Add Optionをクリックします。
オプション
値
clusterAuthMode
x509 を選択します。
clusterFile
ノード PEM キーファイルへのパスを指定します。
各オプションの後に、[ Add ] をクリックします。

オプション	値
`clusterAuthMode`	`x509` を選択します。
`clusterFile`	ノード PEM キーファイルへのパスを指定します。

Save[ をクリックします。

Review & Deploy変更内容を確認するには、をクリックします。

Confirm & Deploy変更を配置するには、をクリックします。

そうでない場合は、 Cancelをクリックすると、追加の変更を行うことができます。

配置されたプロセスごとにTLS / SSLオプションを構成したら、 MongoDB Ops Managerプロジェクトの x.509 認証の有効化に進みます。

MongoDB Ops Managerプロジェクトでの x.509 クライアント証明書認証の有効化

配置用のSecurity Settings ダイアログに移動します。

まだ表示されていない場合は、目的のプロジェクトを含む組織をナビゲーションバーの Organizations メニューで選択します。
まだ表示されていない場合は、ナビゲーションバーの Projects メニューから目的のプロジェクトを選択します。
まだ表示されていない場合は、サイドバーの [Deployment] をクリックします。

[Security] タブをクリックします。
[Settings] タブをクリックします。
次のいずれかのアクションを実行します。
- このプロジェクトでTLS 、認証、または認可設定を初めて構成する場合は、 Get Startedをクリックします。
- このプロジェクトのTLS認証または認可設定をすでに構成している場合は、[ Editをクリックします。

TLS 設定を指定します。

フィールド

アクション

MongoDB 配置トランスポート層セキュリティ (TLS)

このスライダーをONに切り替えます。

TLS CA ファイルパス

TLS認証局ファイルは、証明機関からのルート証明書チェーンを含む.pem形式の証明書ファイルです。 MongoDB Agent は、この同じ認証局ファイルを使用して、配置内のすべてのアイテムに接続します。

証明書ファイルの暗号化された秘密キーは、.pem PKCS #1 に含まれている必要があります。形式。MongoDB Agent は PKCS #8 をサポートしていません。形式。

MongoDB プロセスを実行しているすべてのホスト上のTLS認証局ファイルへのファイルパスを入力します。

最初のボックスにすべての Linux ホスト上のファイルパスを入力します。
2 番目のボックスにすべての Windows ホスト上のファイルパスを入力します。

これにより、プロジェクト内の MongoDB プロセスのnet.tls.CAFile設定が有効になります。

Validateをクリックして、指定したパスで配置内の各ホストにTLS認証局があることをテストします。

クライアント証明書モード

TLS 対応の MongoDB 配置に接続するときにクライアントアプリケーションまたは MongoDB エージェントが TLS 証明書を提示する必要がある場合は、を選択します。MongoDB の各配置では、接続時にこれらのクライアントホストからの証明書がチェックされます。クライアントTLS証明書を要求する場合は、有効であることを確認します。

指定できる値は次のとおりです。

任意	すべてのクライアントは MongoDB 配置に接続するときに有効なTLS証明書を提示する場合があります。を `mongodtlsMode`に設定しない場合、MongoDB エージェントは TLS`None` 証明書を使用する可能性があります。
必須	このプロジェクト内のすべての MongoDB 配置は、 TLSで暗号化されたネットワーク接続から始まります。 MongoDB 配置に接続するには、すべてのエージェントがTLSを使用する必要があります。

認証メカニズムを選択します。

MongoDB Agent Connections to Deploymentセクションで、[X.509 Client Certificate (MONGODB-X509)] を選択します。

重要

LDAP 認可を使用していない場合は、MongoDB 配置の$externalデータベースにユーザーを追加する必要があります。例については、「 x 」を参照してください。 509クライアント証明書認証。

LDAP 認証設定を構成します。（任意）

重要

MongoDB 3.4 以降では、最初に LDAP 認証を有効にしている限り、 $externalデータベースにローカルユーザードキュメントが必要なく、LDAP、Kerberos、X.509 証明書を使用してユーザーを認証できます。このようなユーザーが正常に認証されると、MongoDB は LDAP サーバーに対してクエリを実行して、LDAP ユーザーが持つすべてのグループを取得し、それらのグループを同等の MongoDB ロールに変換します。

LDAP 認可を有効にしない場合は、この手順をスキップします。

次のフィールドに値を入力します。

設定	値
LDAP Authorization	LDAP 認可を有効にするには、をONに切り替えます。
Authorization Query Template	LDAP ユーザーの LDAP グループのリストを取得するには、LDAP クエリ URL のテンプレートを指定します。

エージェントのX.509 Client Certificate (MONGODB-X509) を構成します。

MongoDB 配置には複数の認証メカニズムを有効にできますが、MongoDB Ops Manager エージェントが使用できる認証メカニズムは1 つだけです。 Select X.509 Client Certificate (MONGODB-X509) to connect to your MongoDB deployment.

Agent Auth MechanismセクションからX.509 Client Certificate (MONGODB-X509)オプションを選択します。

MongoDB Agent の認証情報を提供します。

設定	値
MongoDB Agent Username	エージェントの PEM キーファイルから生成された LDAPv3 識別名を入力します。
MongoDB Agent Certificate File	適切なオペレーティングシステムの行で、サーバー上のエージェントの PEM キーファイルのパスとファイル名を指定します。
MongoDB Agent Certificate Password	PEM キーファイルが暗号化されている場合は、そのファイルにパスワードを入力します。

Save Settings[ をクリックします。

Review & Deploy変更内容を確認するには、をクリックします。

Confirm & Deploy変更を配置するには、をクリックします。

そうでない場合は、 Cancelをクリックすると、追加の変更を行うことができます。

LDAP グループの MongoDB ロールを作成します。（任意）

LDAP 認可を有効にした後、LDAP 認可に指定した LDAP グループごとにカスタム MongoDB ロールを作成する必要があります。

戻る

Kerberos 認証の有効化

MongoDB ユーザーとロールの管理

前提条件

重要

手順

注意

x.509 証明書認証用の既存の配置の準備

重要

注意

配置の .css-h15tq0{font-style:normal;font-weight:700;} Clusters ビューに移動します。

プロセスをリストした行で、Modify をクリックします。

Advanced Configuration Optionsセクションを展開します。

TLS / SSL 起動オプションを設定します。

重要

Save[ をクリックします。

Review & Deploy変更内容を確認するには、 をクリックします。

Confirm & Deploy変更を配置するには、 をクリックします。

x.509 ノード証明書認証のための既存の配置の構成

注意

警告

この手順は元に戻すことができません

重要

配置の Clusters ビューに移動します。

プロセスをリストした行で、Modify をクリックします。

Advanced Configuration Optionsセクションを展開します。

x.509 起動オプションを設定します。

Save[ をクリックします。

Review & Deploy変更内容を確認するには、 をクリックします。

Confirm & Deploy変更を配置するには、 をクリックします。

MongoDB Ops Managerプロジェクトでの x.509 クライアント証明書認証の有効化

配置用のSecurity Settings ダイアログに移動します。

TLS 設定を指定します。

認証メカニズムを選択します。

重要

LDAP 認証設定を構成します。 （任意）

重要

エージェントのX.509 Client Certificate (MONGODB-X509) を構成します。

Save Settings[ をクリックします。

Review & Deploy変更内容を確認するには、 をクリックします。

Confirm & Deploy変更を配置するには、 をクリックします。

LDAP グループの MongoDB ロールを作成します。 （任意）

配置の Clusters ビューに移動します。

Review & Deploy変更内容を確認するには、をクリックします。

Confirm & Deploy変更を配置するには、をクリックします。

Review & Deploy変更内容を確認するには、をクリックします。

Confirm & Deploy変更を配置するには、をクリックします。

LDAP 認証設定を構成します。（任意）

Review & Deploy変更内容を確認するには、をクリックします。

Confirm & Deploy変更を配置するには、をクリックします。

LDAP グループの MongoDB ロールを作成します。（任意）