Docs Menu
Docs Home
/
MongoDB Ops Manager
/
セキュリティ
/
認証による安全な MongoDB デプロイ

MongoDB Ops Managerプロジェクトでのユーザー名とパスワード認証の有効化

項目一覧

  • Overview
  • Considerations
  • 手順

Overview

MongoDB Ops Managerを使用すると、 MongoDB Ops Managerエージェントを含むすべてのクライアントがMongoDB配置に接続するために使用する認証メカニズムを構成できます。 プロジェクトごとに複数の認証メカニズムを有効にできますが、エージェントには 1 つのメカニズムのみを選択する必要があります。

MongoDB ユーザーは、ユーザー名とパスワードを使用して MongoDB database に対して自分自身を認証できます。

MongoDB バージョン
デフォルトの認証メカニズム
MongoDB 4.0 以降
SHA-1 と SHA-256 ハッシュ アルゴリズムを使用する Salted Challenge Response Authentication Mechanism(SCRAM)( SCRAM-SHA-1SCRAM-SHA-256 )。
MongoDB 3.4 から 3.6
SHA-1 ハッシュ アルゴリズム( SCRAM-SHA-1 )を使用する Salted Challenge Response Authentication Mechanism(SCRAM)。

SCRAM-SHA-1 および SCRAM-SHA-256

SCRAM-SHA-1 RFC5802 )および SCRAM-SHA-256 RFC7677 )は、パスワードを使用してユーザーを認証するためのチャレンジ レスポンス メカニズムの実装に関するベスト プラクティス メソッドを定義する IETF 標準です。

SCRAM-SHA-1SCRAM-SHA-256は、ユーザー名、パスワード、認証データベースを使用して、提供されたユーザー認証情報を確認します。 認証データベース は、ユーザーが作成されたデータベースです。

Considerations

このチュートリアルでは、 MongoDB Ops Manager MongoDB配置でユーザー名とパスワードの認証を有効にする方法について説明します。

注意

MongoDB Community バージョンは、ユーザー名とパスワードの認証と x.509 認証をサポートしています。

注意

プロジェクトの認証と TLS 設定リセットする場合は、まず MongoDB Ops Manager が管理するプロジェクト内のMongoDB 配置をすべて管理解除します。

手順

この手順では、オートメーションを使用するときにユーザー名とパスワード認証を構成して有効にする方法について説明します。 MongoDB Ops ManagerがMongoDBエージェントを管理しない場合は、ユーザー名とパスワードを使用するようにエージェントを手動で構成する必要があります。 認証の構成方法については、「 認証用の MongoDB Agent の構成 」を参照してください。

注意

MongoDB Ops ManagerアプリケーションをSCRAM-SHA-256を使用して認証するように構成する場合、4.0 より前の はデプロイできません。 MongoDB クラスター。

1

配置のSecurity Settings [ ダイアログに移動します。

  1. まだ表示されていない場合は、目的のプロジェクトを含む組織をナビゲーション バーの Organizations メニューで選択します。

  2. まだ表示されていない場合は、ナビゲーション バーの Projects メニューから目的のプロジェクトを選択します。

  3. まだ表示されていない場合は、サイドバーの [Deployment] をクリックします。

  1. [Security] タブをクリックします。

  2. [Settings] タブをクリックします。

  3. 次のいずれかのアクションを実行します。

    • このプロジェクトでTLS 、認証、または認可設定を初めて構成する場合は、 Get Startedをクリックします。

    • このプロジェクトのTLS認証または認可設定をすでに構成している場合は、[ Editをクリックします。

2

オプション: TLS 設定を指定します。

Username/Password (MONGODB-CR/SCRAM-SHA-1)またはUsername/Password (SCRAM-SHA-256)認証で使用する場合、TLS は必要ありません。

フィールド
アクション
MongoDB 配置トランスポート層セキュリティ (TLS)
このスライダーをONに切り替えます。
TLS CA ファイルパス

TLS認証局ファイルは、証明機関からのルート証明書チェーンを含む.pem形式の証明書ファイルです。 MongoDB Agent は、この同じ認証局ファイルを使用して、配置内のすべてのアイテムに接続します。

証明書ファイルの暗号化された秘密キーは、.pem PKCS #1 に含まれている必要があります。 形式。MongoDB Agent は PKCS #8 をサポートしていません。 形式。

MongoDB プロセスを実行しているすべてのホスト上のTLS認証局ファイルへのファイル パスを入力します。

  • 最初のボックスにすべての Linux ホスト上のファイルパスを入力します。

  • 2 番目のボックスにすべての Windows ホスト上のファイル パスを入力します。

これにより、プロジェクト内の MongoDB プロセスのnet.tls.CAFile設定が有効になります。

Validateをクリックして、指定したパスで配置内の各ホストにTLS認証局があることをテストします。

クライアント証明書モード

TLS 対応の MongoDB 配置に接続するときにクライアント アプリケーションまたは MongoDB エージェントが TLS 証明書を提示する必要がある場合は、 を選択します。MongoDB の各配置では、接続時にこれらのクライアント ホストからの証明書がチェックされます。 クライアントTLS証明書を要求する場合は、有効であることを確認します。

指定できる値は次のとおりです。

任意
すべてのクライアントは MongoDB 配置に接続するときに有効なTLS証明書を提示する場合があります。 を mongodtlsModeに設定 しない 場合、MongoDB エージェントは TLSNone 証明書を使用する可能性があります。
必須
このプロジェクト内のすべての MongoDB 配置は、 TLSで暗号化されたネットワーク接続から始まります。 MongoDB 配置に接続するには、すべてのエージェントがTLSを使用する必要があります。
3

認証メカニズムを選択します。

MongoDB Deployment Authentication Mechanismセクションで、 Username/Password (MONGODB-CR/SCRAM-SHA-1)またはUsername/Password (SCRAM-SHA-256)を選択します。

4

エージェントのUsername/Password (MONGODB-CR/SCRAM-SHA-1) Username/Password (SCRAM-SHA-256)または を設定します。

MongoDB 配置には複数の認証メカニズムを有効にできますが、MongoDB Ops Manager エージェントが使用できる認証メカニズムは1 つだけです。

MongoDB Agent Connections to Deploymentセクションで、 Username/Password (MONGODB-CR/SCRAM-SHA-1)および/またはUsername/Password (SCRAM-SHA-256)を選択します。

MongoDB Ops Managerは、エージェントのユーザー名とパスワードを自動的に生成します。

MongoDB Ops Managerは、 MongoDB Ops Managerの既存の配置ごとに、管理データベースに必要なユーザー ロールを持つエージェントのユーザーを作成します。 新しい配置を追加すると、 MongoDB Ops Managerは新しい配置に必要なユーザーを作成します。

5

Save Settings[ をクリックします。

6

Review & Deploy変更内容を確認するには、 をクリックします。

7

Confirm & Deploy変更を配置するには、 をクリックします。

そうでない場合は、 Cancelをクリックすると、追加の変更を行うことができます。

戻る

MongoDB アクセス制御の概要