Docs Menu
Docs Home
/
MongoDB Cloud Manager
/ /

X.509 인증을 위한 MongoDB Agent 구성

이 페이지의 내용

  • 고려 사항
  • 전제 조건
  • 절차

Cloud Manager를 사용하면 Cloud Manager 에이전트를 포함한 모든 클라이언트가 MongoDB deployment에 연결하는 데 사용하는 인증 메커니즘을 구성할 수 있습니다. 각 프로젝트에 대해 여러 인증 메커니즘을 활성화할 수 있지만 에이전트에 대해서는 하나의 메커니즘만 선택해야 합니다.

MongoDB는 X를509 지원합니다. 인증서 보안 TLS 연결에 사용할 인증입니다. X.509 클라이언트 인증을 사용하면 클라이언트가 사용자 이름과 비밀번호 대신 인증서를 사용하여 서버를 인증할 수 있습니다.

참고

자동화를 사용하면 Cloud Manager가 MongoDB Agent 인증을 관리합니다. 인증에 대해 자세히 알아보려면 Cloud Manager 프로젝트에 x.509 인증 활성화를 참조하세요.

전송 계층 보안 에 대한 전체 설명 , 공개 키 인프라, X.509 인증서 및 인증 기관 이 튜토리얼의 범위를 초과합니다. 이 튜토리얼에서는 TLS 에 대한 사전 지식이 있고 유효한 X.509 인증서에 액세스할 수 있다고 가정합니다.

Cloud Manager에 대해 X.509 인증을 활성화하려면 단일 인증 기관(CA)에서 생성하고 서명한 유효한 TLS 인증서를 얻어야 합니다. 인증서 요구 사항에 대해 자세히 알아보려면 클라이언트 x를 참조하세요.509 MongoDB 매뉴얼의 인증서 .

X.509 클라이언트 인증서 인증을 사용하려면 배포서버에 대해 TLS 사용하도록 설정하고 구성 해야 합니다.

이 튜토리얼에서는 X.509 인증서 인증 및 TLS 를 사용하도록 MongoDB 배포를 이미 구성했다고 가정합니다. 아직 인증하지 않은 경우 X.509 인증서를 사용하여 클라이언트 인증TLS용 mongod 및 mongos 구성 튜토리얼을 참조하세요.

자동화가 활성화되면 Cloud Manager가 MongoDB Agent 인증을 managed합니다.

MongoDB Agent 인증을 위한 X.509 구성 은 Cloud Manager 프로젝트에 x.509 클라이언트 인증서 인증 활성화를 참조하세요.

MongoDB Agent 를 MongoDB deployment 에 연결하려면 배포서버 서버에 클라이언트 인증서의 subject 값에 해당하는 MongoDB 사용자를 만들어야 합니다.

MongoDB 사용자를 생성하는 위치는 LDAP 권한 부여 사용 여부에 따라 달라집니다.

참고

MongoDB 8.0부터 LDAP 인증 및 권한 부여는 더 이상 지원되지 않습니다. 이 기능은 사용할 수 있으며 MongoDB 8의 수명 기간 동안 변경 없이 계속 작동합니다. LDAP는 향후 주요 릴리스에서 제거될 예정입니다.

자세한 내용은 LDAP 사용 중단을 참조하세요.

MongoDB deployment 서버에서 LDAP 권한 부여 를 사용하는 경우, LDAP 서버 에서 MongoDB Agent 에 대한 LDAP 사용자 및 LDAP 그룹 을 생성해야 합니다. LDAP 사용자 및 그룹 을 만든 후 배포서버의 admin 데이터베이스 에 있는 MongoDB 역할 에 LDAP 그룹 을 매핑합니다.

경고

LDAP 권한 부여를 사용하는 경우 $external 데이터베이스 에 MongoDB 사용자를 생성 하지 마세요. $external 데이터베이스 에 MongoDB 사용자가 있고 LDAP 권한 부여 가 활성화된 경우 MongoDB 3.4 이상이 시작되지 않습니다.

MongoDB Agent 를 나타내는 MongoDB 사용자의 경우:

  1. 클라이언트 인증서의 subject 값을 사용자 사용자 이름 으로 사용하는 라는 LDAP 서버 에 새 LDAP 사용자를 만듭니다.

  2. 이름이 MongoDB Agent의 역할 과 일치하는 LDAP 그룹 을 생성합니다.

  3. 적절한 권한을 사용하여 admin 데이터베이스 에 MongoDB Agent의 역할 을 생성합니다.

    참고

    자동화가 활성화되면 자동화는 LDAP 인증 을 위해 MongoDB Agent 사용자에 대한 역할 을 자동으로 생성합니다.

  4. LDAP 사용자를 LDAP 그룹 에 할당합니다.

다음도 참조하세요.

방법을 학습 보세요:
~를 참조하세요.

LDAP 사용자 만들기

LDAP 구현 에 대한 문서입니다.

LDAP 그룹 만들기

LDAP 구현 에 대한 문서입니다.

MongoDB Agent 에 적절한 역할 할당

LDAP 그룹 및 MongoDB 역할 매핑

MongoDB 매뉴얼의 LDAP 권한 부여 페이지에 있는LDAP 역할 섹션 .

Cloud Manager 자동화 없이 LDAP 권한 부여 구성

MongoDB 매뉴얼의 LDAP 권한 부여 페이지.

LDAP 권한 부여 를 사용하지 않는 경우, 클라이언트 인증서의 subject 값을 MongoDB deployment 의 $external 데이터베이스 에 MongoDB Agent 의 사용자 이름 으로 추가해야 합니다. LDAP 권한 부여 가 없으면 MongoDB 는 $external 데이터베이스 를 사용하여 X에 대해 사용자를 인증합니다.509.

참고

MongoDB Agent에 적합한 역할을 찾으려면 MongoDB Agent 에 MongoDB Agent 액세스 권한을 참조하세요.

다음 명령을 사용하여 mongosh 에서 사용자를 생성합니다.

db.getSiblingDB("$external").createUser(
{
user : "<x.509 subject>",
roles : [
{ role : "clusterAdmin", db : "admin" },
{ role : "readWriteAnyDatabase", db : "admin" },
{ role : "userAdminAnyDatabase", db : "admin" },
{ role : "dbAdminAnyDatabase", db : "admin" },
{ role : "backup", db : "admin" },
{ role : "restore", db : "admin" }
]
}
)

어떤 액세스 이 필요한지 학습 보려면 MongoDB Agent 에 필요한 액세스 권한을 참조하세요.

각 MongoDB 사용자는 고유한 X.509 인증서가 있어야 합니다.

X.509 인증을 사용하려면 TLS 용 MongoDB 에이전트를 구성해야 합니다.

1

Cloud Manager 배포서버에 TLS 를 활성화한 경우, TLS 를 사용하도록 MongoDB Agent를 구성 해야 합니다. TLS 를 사용하도록 MongoDB Agent를 구성하려면 MongoDB 인스턴스의 인증서에 서명한 신뢰할 수 있는 인증 기관 인증서가 있어야 합니다.

MongoDB Agent의 설치 디렉토리 에서 httpsCAFile 필드를 PEM 형식의 인증서를 하나 이상 포함하는 파일 경로로 설정하도록 구성 파일을 편집합니다.

MongoDB Agent 구성 파일의 위치는 C:\MMSData\Automation\automation-agent.config입니다.

참고

레거시 Agent를 사용하는 사람들이 더 쉽게 업그레이드할 수 있도록 하기 위한 방법으로 MongoDB Agent 구성 파일의 이름은 automation-agent.config 로 지정되었습니다.

MongoDB Agent 구성 파일의 위치는 /etc/mongodb-mms/automation-agent.config입니다.

참고

레거시 Agent를 사용하는 사람들이 더 쉽게 업그레이드할 수 있도록 하기 위한 방법으로 MongoDB Agent 구성 파일의 이름은 automation-agent.config 로 지정되었습니다.

MongoDB Agent 구성 파일의 위치는 /etc/mongodb-mms/automation-agent.config입니다.

참고

레거시 Agent를 사용하는 사람들이 더 쉽게 업그레이드할 수 있도록 하기 위한 방법으로 MongoDB Agent 구성 파일의 이름은 automation-agent.config 로 지정되었습니다.

MongoDB Agent 구성 파일의 위치는 /path/to/install/local.config입니다.

예시

다음 명령을 사용하여 mongosh 을(를) 통해 연결합니다.

mongosh --tls --tlsCAFile /etc/ssl/ca.pem example.net:27017

그런 다음 구성 파일을 수정하고 다음 키/값 쌍을 설정합니다.

httpsCAFile=/etc/ssl/ca.pem

구성 파일을 저장합니다.

이러한 설정에 대해 자세히 알아보려면 Cloud Manager TLS 설정을 참조하세요.

2

TLS를 사용 하도록 MongoDB 에이전트 구성에서 TLS 용 MongoDB 에이전트 구성에 대한 자세한 내용을 제공합니다.

MongoDB Agent를 구성한 후 Cloud Manager 프로젝트에 x.509 인증 활성화에 설명된 대로 Cloud Manager 인터페이스에서 X.509 인증 메커니즘을 구성합니다.

돌아가기

Kerberos

이 페이지의 내용