Docs Menu
Docs Home
/
MongoDBマニュアル
/ / / /

キーファイル認証を使用した自己管理型レプリカセットの配置

項目一覧

  • Overview
  • Considerations
  • キーファイル アクセス制御を使用した新しいレプリカセットの配置
  • x.509 内部認証

レプリカセットにアクセス制御を強制するには、以下を構成する必要があります。

このチュートリアルでは、レプリカセットの各ノードが同じ内部認証メカニズムと設定を使用します。

内部認証を強制すると、ユーザーのアクセス制御も強制されます。 レプリカ セットに接続するには、 mongoshなどのクライアントはユーザー アカウントを使用する必要があります。 「ユーザーと認証メカニズム 」を参照してください。

Cloud ManagerまたはMongoDB Ops Managerを現在使用している、または使用する予定の場合は、 Cloud ManagerのマニュアルまたはMongoDB Ops Managerのマニュアルを参照して、アクセス制御を強制します。

重要

IP アドレスの変更による構成の更新を防ぐには、IP アドレスの代わりに DNS ホスト名を使用します。レプリカセット ノードまたはシャーディングされたクラスター ノードを設定するときは、IP アドレスではなく DNS ホスト名を使用することが特に重要です。

分裂されたネットワーク ホライズン全体でクラスターを構成するには、IP アドレスの代わりにホスト名を使用します。 MongoDB 5.0以降、IP アドレスのみが設定されているノードは起動時の検証に失敗し、起動しません。

mongodmongos は、デフォルトで localhost にバインドされます。配置のノードが異なるホスト上で実行されている場合、またはリモート クライアントを配置に接続する場合は、--bind_ip または net.bindIp を指定する必要があります。

このチュートリアルでは、主に mongod プロセスについて説明します。Windows ユーザーは代わりに mongod.exe プログラムを使用する必要があります。

キーファイルは管理しやすく暗号化の強度が制限されているため、テストおよび開発環境にのみ推奨します。本番環境では、 x509 を使用することを強くお勧めします。 証明書 。キーファイルは特定の制御されたシナリオでは安全に使用できますが、複雑な配置ではスケーラビリティと管理の問題が発生します。 x.509 証明書は、より堅牢なセキュリティ機能を提供し、より優れたキー管理を提供し、 個別の認証をサポートし、機密データ保護の業界標準に準拠します。

このチュートリアルでは、 adminデータベース上のみでの最小限数の管理ユーザーの作成について説明します。 ユーザー認証には、このチュートリアルではデフォルトのSCRAM認証メカニズムを使用します。 チャレンジレスポンスのセキュリティ方式は、テスト環境または開発環境に最適です。 本番環境では、 x を使用することをお勧めします。 509証明書または自己管理型 LDAP プロキシ認証(MongoDB Enterprise でのみ使用可能)、または自己管理型配置での Kerberos 認証(MongoDB Enterprise でのみ使用可能)。

特定の認証メカニズムのユーザーを作成する方法の詳細については、特定の認証メカニズムのページを参照してください。

ユーザーの作成とマネジメントのベストプラクティスについては、➤ ロールベースのアクセス制御の構成を参照してください。

重要

IP アドレスの変更による構成の更新を防ぐには、IP アドレスの代わりに DNS ホスト名を使用します。レプリカセット ノードまたはシャーディングされたクラスター ノードを設定するときは、IP アドレスではなく DNS ホスト名を使用することが特に重要です。

分裂されたネットワーク ホライズン全体でクラスターを構成するには、IP アドレスの代わりにホスト名を使用します。 MongoDB 5.0以降、IP アドレスのみが設定されているノードは起動時の検証に失敗し、起動しません。

1

キーファイル認証では、レプリカセット内の各 mongod インスタンスは、配置内の他のノードを認証するための共有パスワードとしてキーファイルの内容を使用します。正しいキーファイルを持つ mongod のインスタンスのみがレプリカセットに参加できます。

注意

内部メンバーシップ認証用のキーファイルでは、キーファイル内に複数のキーを含めるために YAML 形式が使用されます。YAML 形式は次のいずれかを受け入れます。

  • 1 つのキー文字列(以前のバージョンと同じ)

  • キー文字列のシーケンス

YAML 形式は、テキストファイル形式を使用する既存の単一のキー キーファイルと互換性があります。

キーの長さは 6 文字から 1024 文字の間で、base64 セット内の文字のみを含めることができます。レプリカセットのすべてのノードは、少なくとも 1 つの共通キーを共有する必要があります。

注意

UNIX システムでは、キーファイルにグループ権限またはワールド権限があってはなりません。Windows システムでは、キーファイルの権限はチェックされません。

キーファイルは、選択した任意の方法で生成できます。たとえば、次の操作では、openssl を使用して、共有パスワードとして使用する疑似ランダムの複雑な 1024 文字の文字列を生成します。次に、chmod を使用してファイル権限を変更し、ファイル所有者のみに読み取り権限を付与します。

openssl rand -base64 756 > <path-to-keyfile>
chmod 400 <path-to-keyfile>

キーファイルの使用に関する詳細と要件については、「キーファイル」を参照してください。

2

レプリカセットをホストしている各サーバーにキー ファイルをコピーします。mongod インスタンスを実行中のユーザーがファイルの所有者であり、キーファイルにアクセスできるようにしてください。

USB ドライブやネットワーク接続ストレージ デバイスなど、mongod インスタンスをホストしているハードウェアから簡単に取り外せるストレージ メディアにキーファイルを保存しないでください。

3

レプリカセット内の各ノードに対して、 構成ファイル設定またはmongod security.keyFileコマンドライン--keyFile オプションのいずれかを使用して を起動します。mongod--keyFileコマンドライン オプションまたはsecurity.keyFile 構成ファイル設定を使用して を実行すると、自己管理型配置で 自己 管理型内部認証またはメンバーシップ認証 と ロールベースのアクセス制御 の両方が強制されます。

構成ファイルを使用する場合、次を設定します

構成に必要な追加オプションを含めます。 たとえば、リモート クライアントを使用して配置に接続する場合や、配置ノードを異なるホスト上で実行する場合は、 net.bindIp設定を指定します。

security:
keyFile: <path-to-keyfile>
replication:
replSetName: <replicaSetName>
net:
bindIp: localhost,<hostname(s)|ip address(es)>

構成ファイルを使用して mongod を起動します。

mongod --config <path-to-config-file>

構成ファイルの詳細については、構成オプションを参照してください。

コマンドライン オプションを使用する場合は、次のオプションを使用して mongod を開始します。

  • --keyFile にキーファイルのパスを設定

  • --replSet にレプリカセット名を設定

構成に必要な追加オプションを含めます。 たとえば、リモート クライアントを配置に接続する場合、または配置ノードを異なるホスト上で実行する場合は、 --bind_ipを指定します。

mongod --keyFile <path-to-keyfile> --replSet <replicaSetName> --bind_ip localhost,<hostname(s)|ip address(es)>

重要

IP アドレスの変更による構成の更新を防ぐには、IP アドレスの代わりに DNS ホスト名を使用します。レプリカセット ノードまたはシャーディングされたクラスター ノードを設定するときは、IP アドレスではなく DNS ホスト名を使用することが特に重要です。

分裂されたネットワーク ホライズン全体でクラスターを構成するには、IP アドレスの代わりにホスト名を使用します。 MongoDB 5.0以降、IP アドレスのみが設定されているノードは起動時の検証に失敗し、起動しません。

コマンドライン オプションの詳細については、mongod のリファレンス ページを参照してください。

4

mongoshローカルホスト インターフェース経由で mongod インスタンスの 1 つに接続します。mongoshmongod インスタンスと同じ物理マシン上で実行する必要があります。

配置用のユーザーが作成されていないため、ローカルホスト インターフェースのみ使用できます。最初のユーザーが作成された後に、 ローカルホスト インターフェースは閉じます。

5

mongoshから、 rs.initiate()メソッドを実行します。

rs.initiate() は、オプションのレプリカセット構成ドキュメントを指定できます。レプリカセット構成ドキュメントには、次を含めます。

  • _id は、replication.replSetName または --replSet オプションのいずれかで指定されたレプリカセット名に設定されます。

  • レプリカセットの各ノードごとのドキュメントを含む members 配列

次の例では、3 つのノードがあるレプリカセットを初期化します。

重要

レプリカセットに対して 1 つの mongod インスタンスでのみ rs.initiate() を実行します。

重要

IP アドレスの変更による構成の更新を防ぐには、IP アドレスの代わりに DNS ホスト名を使用します。レプリカセット ノードまたはシャーディングされたクラスター ノードを設定するときは、IP アドレスではなく DNS ホスト名を使用することが特に重要です。

分裂されたネットワーク ホライズン全体でクラスターを構成するには、IP アドレスの代わりにホスト名を使用します。 MongoDB 5.0以降、IP アドレスのみが設定されているノードは起動時の検証に失敗し、起動しません。

rs.initiate(
{
_id : "myReplSet",
members: [
{ _id : 0, host : "mongo1.example.net:27017" },
{ _id : 1, host : "mongo2.example.net:27017" },
{ _id : 2, host : "mongo3.example.net:27017" }
]
}
)

rs.initiate()は、選挙をトリガーし、ノードの 1 つをプライマリとして選出します。

続行する前にプライマリに接続します。プライマリ ノードを見つけるには、rs.status() を使用します。

6

重要

最初のユーザーを作成すると、localhost 例外は利用できなくなります。

最初のユーザーには、 userAdminAnyDatabaseを持つユーザーなど、他のユーザーを作成する特権を付与する必要があります。 これにより、自己管理型配置の Localhost 例外 が終了した後に追加のユーザーを作成できるようになります。

少なくとも 1 人ユーザーを作成できる権限を持つユーザーがいない場合、localhost 例外が終了すると、権限を持ったユーザーを新規作成、または既存ユーザーの権限を編集できなくなり、必要な操作にアクセスできなくなる可能性があります。

db.createUser() メソッドを使用してユーザーを追加します。このユーザーには、admin データベース上で userAdminAnyDatabase 以上のロールを付与する必要があります。

ユーザーを作成するには、プライマリに接続する必要があります。

次の例では、ユーザー fred を作成し、admin データベースに対して userAdminAnyDatabase ロールを付与しています。

重要

パスワードは、システムのセキュリティを確保し、悪意のあるアクセスを防止または遅延させるために、ランダムで長く、複雑なものにする必要があります。

Tip

passwordPrompt() メソッドを様々なユーザー認証管理メソッドやコマンドと組み合わせて使用すると、メソッドやコマンドの呼び出しでパスワードを直接指定する代わりに、パスワードの入力を求めるプロンプトが表示されます。ただし、以前のバージョンの mongo シェルと同様に、パスワードを直接指定することもできます。

admin = db.getSiblingDB("admin")
admin.createUser(
{
user: "fred",
pwd: passwordPrompt(), // or cleartext password
roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]
}
)

パスワードの入力を求められたら、入力します。 データベース管理操作に関連する組み込みロールの完全なリストについては、「データベースユーザー ロール」を参照してください。

7

admin データベースで認証を行います。

mongoshでは、 db.auth()を使用して認証します。 たとえば、次の例では、ユーザー管理者fredとして認証します。

Tip

passwordPrompt() メソッドを様々なユーザー認証管理メソッドやコマンドと組み合わせて使用すると、メソッドやコマンドの呼び出しでパスワードを直接指定する代わりに、パスワードの入力を求めるプロンプトが表示されます。ただし、以前のバージョンの mongo シェルと同様に、パスワードを直接指定することもできます。

db.getSiblingDB("admin").auth("fred", passwordPrompt()) // or cleartext password

または、-u <username>-p <password>--authenticationDatabase パラメータを使用して、新しい mongosh インスタンスをプライマリ レプリカセット ノードに接続します。

mongosh -u "fred" -p --authenticationDatabase "admin"

-pコマンドライン オプションにパスワードを指定しない場合、 mongoshはパスワードの入力を要求します。

8

clusterAdmin ロールは、レプリカセットの構成などのレプリケーション操作へのアクセスを許可します。

クラスター管理者ユーザーを作成し、admin データベースでの clusterAdmin ロールを割り当てます。

Tip

passwordPrompt() メソッドを様々なユーザー認証管理メソッドやコマンドと組み合わせて使用すると、メソッドやコマンドの呼び出しでパスワードを直接指定する代わりに、パスワードの入力を求めるプロンプトが表示されます。ただし、以前のバージョンの mongo シェルと同様に、パスワードを直接指定することもできます。

db.getSiblingDB("admin").createUser(
{
"user" : "ravi",
"pwd" : passwordPrompt(), // or cleartext password
roles: [ { "role" : "clusterAdmin", "db" : "admin" } ]
}
)

パスワードの入力を求められたら、入力します。

レプリカセットとシャーディングされたクラスターの操作に関連する組み込みロールの完全なリストについては、「クラスター管理ロール」を参照してください。

9

ユーザーを作成して、クライアントがレプリカセットに接続して交流できるようにします。読み取り専用ユーザーや読み取り/書込みユーザーの作成に使用する基本的な組み込みロールについては、「データベースユーザーのロール」を参照してください。

また、管理ユーザーを追加することもできます。 ユーザーの詳細については、「自己管理型配置のユーザー 」を参照してください。

x の使用の詳細については、 を参照してください。内部認証用の509はx を使用する を参照してください。自己管理型 MongoDB によるメンバーシップ認証の509証明書。

キーファイルによる内部認証から x にアップグレードします。 509内部認証については、「自己管理型 MongoDB をキーファイル認証から x にアップグレードする 」を参照してください。 509認証。

戻る

内部