BI Connector에 대한 Kerberos 구성
버전 2.5에 추가.
BI용 MongoDB Connector는 BI 도구 연결 및 MongoDB로 인증하는 BI Connector의 관리자 사용자를 위한 Kerberos 인증을 지원합니다.
다음 섹션에서는 가장 일반적인 두 가지 사용 사례에서 Kerberos 인증을 사용하도록 BI Connector를 구성하는 방법을 안내합니다.
Active Directory에 인증하는 Windows/Linux 클라이언트 머신
Linux KDC에 인증하는 macOS 클라이언트 시스템
다른 사용 사례가 있는 경우 MongoDB 지원팀 에 문의하여 도움을 받으세요.
중요
사용자 이름 의 도메인 부분은 모두 대문자로 작성해야 합니다. 사용자 이름 의 이 부분은 Kerberos 영역 또는 Active Directory 도메인에 해당합니다. 대소문자 를 구분합니다.
Active Directory 구성
도메인이 구성되어 있는지 확인합니다.
사용자 만들기 생성한 도메인에서 MongoDB 의 경우.
사용자 만들기 생성한 도메인에서 MongoSQL의 경우.
MongoDB 서비스에 SPN 을 등록합니다.
MongoSQL 서비스에 SPN 을 등록합니다.
MongoSQL 서비스 사용자에 대해 위임을 활성화합니다.
예시
이 구성을 가정합니다.
귀하의 이름은
Grace Smith입니다.Windows 도메인의 이름은
EXAMPLE.COM입니다.BI.EXAMPLE.COM이라는 Windows 호스팅하다 에서 BI 도구를 실행 있습니다.
Active Directory에서는 세 명의 사용자를 생성합니다.
MongoDB 의 경우:
mongodb@EXAMPLE.COMBI Connector 의 경우:
mongosql@EXAMPLE.COM사용자:
grace.smith@EXAMPLE.COM
각 서비스에 대한 SPN 을 만듭니다.
setspn.exe -S mongodb/BI.EXAMPLE.COM mongodb setspn.exe -S mongosql/BI.EXAMPLE.COM mongosql
참고
이름은 이 설정 전체에서 일관되게 사용하는 한 원하는 무엇이든 될 수 있습니다.
Active Directory 관리 센터 열기 MongoDB 서비스 사용자(mongodb)를 두 번 클릭합니다.
mongosql 사용자를 BI.EXAMPLE.COM 호스팅하다 에서 mongodb 사용자를 대신하여 위임하도록 설정합니다.
참고
Linux 스키마 사용자가 ADC에 인증
Linux 호스팅하다 에서 사용자를 인증하고 스키마 사용자가 비밀번호 대신 키탭 파일 을 사용하는 경우, MongoDB 에서 사용자를 만드는 것 외에도 다음이 필요합니다.
스키마 사용자에 대한 UPN 을 생성합니다.
KRB5_CLIENT_KTNAME 설정 환경 변수를 이 사용자의 키탭에 추가합니다.
이
KRB5_CLIENT_KTNAME에는 스키마 사용자와 BI Connector 서비스 사용자 모두에 대한 키가 포함되어야 합니다.
MongoDB 구성
구성 파일에서 다음 옵션을 설정합니다.
net: bindIp: <fullHostnameOfBIConnector> setParameter: authenticationMechanisms: "GSSAPI" 자세한 내용은 net.bindIp, setParameter 및 authenticationMechanisms를 참조하세요.
Active Directory에서 생성한 MongoDB Windows 사용자로
mongod를 실행합니다.MongoDB database 에서 적절한 역할 을 가진 사용자를 생성하여 데이터를 샘플 합니다.
BI Connector 구성
Active Directory에서 생성한 MongoSQL Windows 사용자로
mongosqld을(를) 실행합니다.다음 BI Connector 인증 설정을
mongosqld구성 파일 에 추가합니다.security: enabled: true defaultMechanism: "GSSAPI" defaultSource: "$external" gssapi: hostname: <host running mongosqld> serviceName: <name of mongosqld service> 중요
제약 조건 설정
security.gssapi.hostname는security.gssapi.serviceName의 값과 일치해야 합니다.제한된 위임 을 사용하도록 Active Directory를 구성한 경우
security.gssapi.constrainedDelegation: true를mongosqld구성 파일 에 추가하지 않으면 인증 이 실패합니다.
자세한 내용은 다음을 참조하세요.
BI Connector 가 MongoDB 로 인증하는 데 사용할 다음 설정을 추가합니다.
mongodb: net: uri: "mongodb://<hostname and port of mongodb database>/" auth: username: <database username> password: <database password> source: "$external" mechanism: "GSSAPI" 자세한 내용은 다음을 참조하세요.
예시
귀하의 이름은
Grace Smith입니다.Windows 도메인의 이름은
EXAMPLE.COM입니다.BI.EXAMPLE.COM이라는 Windows 호스팅하다 에서 BI 도구를 실행 있습니다.
BI.EXAMPLE.COM 에서 :
서비스로 MongoDB 및 MongoDB Connector for BI 를 설치합니다.
mongod.cfg파일을 다음과 같이 편집합니다.systemLog: destination: "file" path: "c:\\data\\log\\mongod.log" verbosity: 2 storage: dbPath: "c:\\data\\db" net: bindIp: BI.EXAMPLE.COM setParameter: authenticationMechanisms: "GSSAPI" mongoshell 에 로그온하여 BI Connector 사용자를 만듭니다.db.getSiblingDB("$external").createUser( { user: "grace.smith@EXAMPLE.COM", roles: [ { role: "readAnyDatabase", db: "admin" } ] } ) mongosqld.cfg파일을 다음과 같이 편집합니다.systemLog: path: "c:\\data\\log\\mongosqld.log" logAppend: true logRotate: "reopen" verbosity: 3 runtime: memory: maxPerStage: 102400 net: bindIp: BI.EXAMPLE.COM port: 3306 security: enabled: true defaultSource: "$external" defaultMechanism: "GSSAPI" gssapi: hostname: "BI.EXAMPLE.COM" serviceName: "mongosql" mongodb: net: uri: "mongodb://BI.EXAMPLE.COM/" auth: username: "grace.smith@EXAMPLE.COM" password: "abc123!" source: "$external" mechanism: "GSSAPI" processManagement: service: displayName: "MongoDB BI Connector" Services 을 엽니다.
MongoDB 를 다음으로 설정 Log on as: This account:
mongodb@EXAMPLE.COMBI 용 MongoDB Connector를 다음으로 설정합니다. Log on as: This account:
mongosql@EXAMPLE.COMBI 서비스용 MongoDB 및 MongoDB Connector를 시작합니다.
참고
Linux 스키마 사용자가 ADC에 인증
Linux 호스팅하다 에서 사용자를 인증하고 스키마 사용자가 사용자 이름 과 비밀번호를 사용하려는 경우 다음이 필요합니다.
mongodb.net.auth.username를 스키마 사용자의 UPN 으로 설정합니다.mongodb.net.auth.password를 값 없음으로 설정합니다.
팁
다음도 참조하세요.
MongoDB 인스턴스를 관리하도록 Active Directory를 구성하는 방법을 알아보려면 Kerberos 인증 및 Active Directory 권한 부여를 사용하여 MongoDB 구성을 참조하세요.
MongoDB 구성
BI Connector 구성
MongoDB deployment용으로 만든
keytab파일을 BI Connector를 제공하는 동일한 호스트에 복사합니다.키탭이 기본 이름( )을 사용하지 않는 경우
krb5.keytabKRB5_KTNAME 을 설정해야 합니다. 환경 변수.참고
macOS의 Kerberos 구현, Heimdal 는
default_keytab_nameMIT Kerberos와 같이 구성 설정을 지원하지 않습니다.KRB5_KTNAME환경 변수를 설정해야 합니다.Kerberos 구성 파일이 기본 이름(
krb5.conf)을 사용하지 않는 경우 KRB5_CONFIG 환경 변수. (Heimdal은 이 환경 변수 도 지원합니다. .)다음 BI Connector 인증 설정을
mongosqld구성 파일 에 추가합니다.security: enabled: true defaultMechanism: "GSSAPI" defaultSource: "$external" gssapi: hostname: <host running mongosqld> serviceName: <name of mongosqld service> 자세한 내용은 다음을 참조하세요.
BI Connector 가 MongoDB 로 인증하는 데 사용할 다음 설정을 추가합니다.
mongodb: net: uri: "mongodb://<hostname and port of mongodb database>/" auth: username: <database username> password: <database password> source: "$external" mechanism: "GSSAPI" 자세한 내용은 다음을 참조하세요.
팁
로컬 호스트에서 Kerberos를 사용하여 BI Connector 테스트
에서 를 실행하여 Kerberos를 테스트하는 mongosqld localhost net.unixDomainSocket.enabled 경우 true mongosqld 구성 파일에서 를 로 설정해야 합니다.