문서 메뉴
문서 홈
/
MongoDB Atlas
/
클러스터에 대한 보안 기능 구성
/
클러스터 인증 및 권한 부여 구성

LDAP로 사용자 인증 및 권한 부여 설정하기

이 페이지의 내용

  • 필요한 액세스 권한
  • 전제 조건
  • 추천
  • 고려 사항
  • LDAP 권한 부여와 X.509 사용자 간 충돌
  • 사용자 이름
  • 연결 문자열
  • 구성 변경 시 롤링 재시작
  • 공용 IP 주소 사용
  • 제한 사항
  • 절차
  • LDAP로 인증 구성
  • 인증 구성
  • LDAP 데이터베이스 사용자 또는 그룹 추가
  • LDAP 구성 보기
  • LDAP 구성 비활성화
  • 타사 LDAP 제공자를 위한 튜토리얼

참고

  • M0 무료 클러스터, M2, M5 클러스터에서는 이 기능을 사용할 수 없습니다. 자세한 내용은 Atlas M0(무료 클러스터), M2, M5 제한 사항을 참조하세요.

  • 이 기능은 현재 서버리스 인스턴스에서 지원되지 않습니다. 자세한 내용은 서버리스 인스턴스 제한사항을 참조하십시오.

Atlas를 사용하면 TLS를 통해 자체 경량 디렉토리 액세스 프로토콜 ( LDAP) 서버를 사용하는 모든 MongoDB 클라이언트의 사용자 인증 및 권한 부여를 관리할 수 있습니다. 단일 LDAPS (LDAP over TLS) 구성이 프로젝트의 모든 cluster에 적용됩니다.

LDAP로 사용자 권한 부여가 가능하도록 설정한 경우 LDAP 그룹을 Atlas 데이터베이스의 MongoDB 역할에 매핑하여 admin 데이터베이스에 LDAP 그룹을 생성할 수 있습니다. LDAP 그룹을 효과적으로 사용하려면 개발 환경과 프로덕션 환경을 위한 별도의 Atlas 프로젝트를 만드는 등 조직 내 특정 배포에 대한 액세스를 제어할 수 있는 추가 프로젝트를 Atlas 내에 만드세요. 그런 다음 LDAP 그룹을 Atlas 프로젝트의 역할에 매핑하여 원하는 배포에 대한 액세스를 제공할 수 있습니다.

참고

사용자 권한 부여를 활성화했는데 LDAP 사용자가 어떤 LDAP 그룹에도 속해 있지 않은 경우, Atlas는 사용자에게 데이터베이스 역할을 할당하지 않습니다. 사용자 인증을 활성화하고 사용자 권한 부여를 비활성화하면 Atlas는 MongoDB database 역할을 LDAP 사용자에게 할당합니다.

조직이 여러 부서로 구성되어 있고 각 부서가 서로 다른 청구 요건, 경고 설정 및 프로젝트 노드를 가진 경우에는 각 부서나 사업부별 새 프로젝트 세트 또는 새 조직을 생성하는 것이 좋습니다.

참고

LDAP 에 대한 설명은 MongoDB 문서의 범위를 벗어납니다.RFC 4515 를 검토하세요.및 4516 RFC 또는 선호하는 LDAP 문서를 참조하세요.

필요한 액세스 권한

LDAP 사용자 또는 그룹을 관리하려면 Atlas에 대한 Organization Owner 또는 Project Owner 액세스 권한이 있어야 합니다.

전제 조건

Atlas에서 LDAP를 사용하여 사용자 인증 및 권한 부여를 관리하려면 다음 전제 조건을 충족해야 합니다.

  • MongoDB 4.0 이상을 사용하는 Atlas cluster.

  • TLS를 사용하는 LDAP 서버로, Atlas 클러스터가 VPC, VNet 피어링 연결, 클러스터 노드의 공용 IP 주소를 사용하여 네트워크를 통해 액세스할 수 있습니다.

  • 사용자 권한 부여를 위해서만 LDAP 엔트리에 각 사용자의 속성으로 포함된 LDAP 그룹 멤버십입니다.

추천

LDAPS 서비스가 Atlas cluster에 액세스하는 경우 MongoDB는 두 가지 구성 중 하나를 권장합니다.

VPC 또는 VNet 사용

  1. VPC 또는 VNet에서 LDAP 서버를 실행합니다.

  2. Atlas 프로젝트에 피어링 연결을 설정합니다.

  3. LDAP 서버의 비공개 IP 주소로 확인되는 공개 FQDN을 사용합니다.

데이터 센터 사용 방법

  1. 공개 IP 주소로 확인되는 공개 FQDN으로 LDAP 서버를 실행합니다.

  2. Atlas cluster 노드의 공용 IP 주소에서 인바운드 액세스를 허용하도록 LDAP 서버를 구성합니다.

고려 사항

LDAP 권한 부여와 X.509 사용자 간 충돌

LDAP 권한 부여를 활성화하면 Atlas 관리형 X.509 인증서로 인증하는 사용자로 클러스터에 연결할 수 없습니다.

LDAP 권한 부여를 활성화한 후에는 자체 관리형509 X. 인증서로 인증하는 사용자로 클러스터에 연결할 수 있습니다 . 그러나 X. 인증서에 있는 사용자의 일반 이름은 LDAP로 데이터베이스에 액세스할509 수 있는 권한이 있는 사용자의 고유 이름과 일치해야 합니다.

사용자 이름

Atlas는 LDAP 서버에 있는 사용자의 전체 고유 이름(DN)을 Atlas 사용자 이름으로 사용합니다. 예를 들어 ralph라는 LDAP 사용자의 사용자 이름은 Atlas에서 다음과 같습니다.

cn=ralph,cn=Users,dc=aws-atlas-ldap-01,dc=myteam,dc=com

연결 문자열

관리자가 사용자 인증 또는 LDAP를 통한 사용자 인증과 권한 부여를 모두 활성화하는 경우 데이터베이스 사용자는 클라이언트에 대한 연결 문자열에서 다음 매개변수를 재정의해야 합니다.

  • authSource 필수 $external

  • authenticationMechanism 필수 PLAIN

예제

mongosh 에 대한 다음 연결 문자열은 rob 이라는 LDAP 사용자를 인증합니다.

mongosh "mongodb+srv://cluster0-tijis.mongodb.net/test?authSource=%24external" \
  --authenticationMechanism PLAIN \
  --username cn=rob,cn=Users,dc=ldaps-01,dc=myteam,dc=com

연결 문자열을 복사하려면 다음을 수행합니다.

  1. Atlas의 왼쪽 상단 모서리에서 Database을(를) 클릭합니다.

  2. Clusters 페이지에서 Connect 클릭합니다.

  3. User DN 및 비밀번호로 문자열을 수정합니다.

참고

비밀번호, 데이터베이스 이름 또는 연결 문자열에 예약된 URI 문자가 포함된 경우 해당 문자를 이스케이프 처리해야 합니다. 예를 들어 비밀번호가 @bc123인 경우 연결 문자열에 암호를 지정할 때 @ 문자를 이스케이프 처리해야 합니다 (예: %40bc123). 자세한 내용은 연결 문자열 비밀번호의 특수 문자를 참조하세요.

구성 변경 시 롤링 재시작

LDAP 구성을 변경하면 Atlas는 cluster의 롤링 재시작을 수행합니다. 이 재시작을 통해 Atlas는 올바른 설정을 사용하여 사용자를 인증할 수 있습니다.

공용 IP 주소 사용

네트워크 주소 변환을 통해 다른 내부 또는 비공개 IP 주소를 참조하는 공용 IP 주소를 사용하면 Atlas 트래픽을 LDAP 서버로 허용할 수 있습니다. 이 작업을 수행하는 경우 특정 활동으로 인해 Atlas cluster의 공용 IP 주소가 변경될 수 있다는 점에 유의하세요.

공용 IP 주소를 기반으로 LDAP 서버 액세스를 허용한 경우, Atlas cluster의 공용 IP 주소가 변경되어 LDAP 액세스가 차단됩니다.LDAP 액세스를 복원하려면 새 Atlas cluster 공용 IP 주소를 LDAP 액세스 목록에 추가합니다.

제한 사항

동일한 데이터베이스 사용자에 대해 LDAP 인증과 SCRAM 인증을 모두 사용할 수 없습니다.

절차

LDAP로 인증 구성

인증 구성

LDAP 데이터베이스 사용자 또는 그룹 추가

LDAP 구성 보기

LDAP 구성 비활성화

타사 LDAP 제공자를 위한 튜토리얼

다음 튜토리얼을 통해 서드파티 LDAP 제공자의 사용자를 인증 및 권한 부여하도록 Atlas를 구성하세요.

← AWS IAM으로 패스워드리스 인증 설정
Microsoft Entra ID Domain Services를 사용하여 사용자 인증 및 권한 부여 구성 →

이 페이지의 내용