キーファイル認証への自己管理型レプリカセットを更新

キーファイルを作成します。

キーファイル認証では、レプリカセット内の各 mongod インスタンスは、配置内の他のノードを認証するための共有パスワードとしてキーファイルの内容を使用します。正しいキーファイルを持つ mongod のインスタンスのみがレプリカセットに参加できます。

キーの長さは 6 文字から 1024 文字の間で、base64 セット内の文字のみを含めることができます。レプリカセットのすべてのノードは、少なくとも 1 つの共通キーを共有する必要があります。

キーファイルは、選択した任意の方法で生成できます。たとえば、次の操作では、openssl を使用して、共有パスワードとして使用する疑似ランダムの複雑な 1024 文字の文字列を生成します。次に、chmod を使用してファイル権限を変更し、ファイル所有者のみに読み取り権限を付与します。

openssl rand -base64 756 > <path-to-keyfile>
chmod 400 <path-to-keyfile>

キーファイルの使用に関する詳細と要件については、「キーファイル」を参照してください。

キーファイルを各レプリカセットにコピーします。

レプリカセットをホストしている各サーバーにキー ファイルをコピーします。mongod インスタンスを実行中のユーザーがファイルの所有者であり、キーファイルにアクセスできるようにしてください。

USB ドライブやネットワーク接続ストレージ デバイスなど、mongod インスタンスをホストしているハードウェアから簡単に取り外せるストレージ メディアにキーファイルを保存しないでください。

レプリカセットのすべてのノードをシャットダウンします。

セカンダリから始めて、レプリカセット内の各 mongod をシャットダウンします。アービタを含むレプリカセットの全ノードがオフラインになるまで続行します。ロールバックが発生しないようにするには、プライマリを最後にシャットダウンするノードにする必要があります。

mongodをシャットダウンするには、 を使用して各mongod mongoshdb.shutdownServer()を接続し、admin データベースで を発行します。

use admin
db.shutdownServer()

このステップの最後には、レプリカセットのすべてのノードがオフラインになっているはずです。

アクセス制御を強制したレプリカセットの各ノードを再起動します。

security.keyFile構成ファイル設定または--keyFileコマンドライン オプションのいずれかを使用して、レプリカセット内の各mongodを再起動します。 mongod--keyFileコマンドライン オプションまたはsecurity.keyFile 構成ファイル設定を使用して を実行すると、自己管理型配置で 自己 管理型内部認証またはメンバーシップ認証 と ロールベースのアクセス制御 の両方が強制されます。

security:
  keyFile: <path-to-keyfile>
replication:
  replSetName: <replicaSetName>
net:
   bindIp: localhost,<hostname(s)|ip address(es)>

構成ファイルを使用して mongod を起動します。

mongod --config <path-to-config-file>

構成ファイルの詳細については、構成オプションを参照してください。

mongod --keyFile <path-to-keyfile> --replSet <replicaSetName> --bind_ip localhost,<hostname(s)|ip address(es)>

ローカルホスト インターフェイスを使用してプライマリに接続します。

mongosh をローカルホスト インターフェース経由で mongod インスタンスの 1 つに接続します。mongosh は mongod インスタンスと同じ物理マシン上で実行する必要があります。

プライマリ rs.status()レプリカセット メンバーを識別するには、 を使用します。プライマリに接続している場合は、次の手順に進みます。 接続できない場合は、 mongoshをローカルホスト インターフェース経由でプライマリに接続します。

ユーザー管理者を作成します。

db.createUser() メソッドを使用してユーザーを追加します。このユーザーには、admin データベース上で userAdminAnyDatabase 以上のロールを付与する必要があります。

ユーザーを作成するには、プライマリに接続する必要があります。

次の例では、ユーザー fred を作成し、admin データベースに対して userAdminAnyDatabase ロールを付与しています。

admin = db.getSiblingDB("admin")
admin.createUser(
  {
    user: "fred",
    pwd: passwordPrompt(), // or cleartext password
    roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]
  }
)

パスワードの入力を求められたら、入力します。 データベース管理操作に関連する組み込みロールの完全なリストについては、「データベースユーザー ロール」を参照してください。

ユーザー管理者として認証します。

admin データベースで認証を行います。

mongoshでは、 db.auth()を使用して認証します。 たとえば、次の例では、ユーザー管理者fredとして認証します。

db.getSiblingDB("admin").auth("fred", passwordPrompt()) // or cleartext password

または、-u <username>、-p <password>、--authenticationDatabase パラメータを使用して、新しい mongosh インスタンスをプライマリ レプリカセット ノードに接続します。

mongosh -u "fred" -p  --authenticationDatabase "admin"

-pコマンドライン オプションにパスワードを指定しない場合、 mongoshはパスワードの入力を要求します。

クラスター管理者を作成します（任意）。

クラスター管理者ユーザーには、レプリケーション操作へのアクセスを許可する clusterAdmin ロールがあります。

クラスター管理者ユーザーを作成し、admin データベースでの clusterAdmin ロールを割り当てます。

db.getSiblingDB("admin").createUser(
  {
    "user" : "ravi",
    "pwd" : passwordPrompt(),     // or cleartext password
    roles: [ { "role" : "clusterAdmin", "db" : "admin" } ]
  }
)

パスワードの入力を求められたら、入力します。

レプリカセットの操作に関連する組み込みロールの完全なリストについては、「クラスター管理ロール」を参照してください。

追加のユーザーを作成します（任意）。

ユーザーを作成して、クライアントがレプリカセットに接続して交流できるようにします。読み取り専用ユーザーや読み取り/書込みユーザーの作成に使用する基本的な組み込みロールについては、「データベースユーザーのロール」を参照してください。

また、管理ユーザーを追加することもできます。 ユーザーの詳細については、「自己管理型配置のユーザー 」を参照してください。