X.509 인증을 위한 MongoDB Agent 구성
- Cloud Manager 에 대한 프로그래밍 방식의 액세스 를 위한 OAuth 2.0 인증 은 Preview 기능 으로 제공됩니다.
- 기능 및 해당 설명서는 미리 보기 기간에 언제든지 변경될 수 있습니다. OAuth 2.0 인증 을 사용하려면 Cloud Manager 공개 API 에 대한 요청에 사용할서비스 계정을 만듭니다.
Cloud Manager를 사용하면 Cloud Manager 에이전트를 포함한 모든 클라이언트가 MongoDB deployment에 연결하는 데 사용하는 인증 메커니즘을 구성할 수 있습니다. 각 프로젝트에 대해 여러 인증 메커니즘을 활성화할 수 있지만 에이전트에 대해서는 하나의 메커니즘만 선택해야 합니다.
MongoDB는 X를509 지원합니다. 인증서 보안 TLS 연결에 사용할 인증입니다. X.509 클라이언트 인증을 사용하면 클라이언트가 사용자 이름과 비밀번호 대신 인증서를 사용하여 서버를 인증할 수 있습니다.
참고
자동화를 사용하면 Cloud Manager가 MongoDB Agent 인증을 관리합니다. 인증에 대해 자세히 알아보려면 Cloud Manager 프로젝트에 x.509 인증 활성화를 참조하세요.
고려 사항
전송 계층 보안 에 대한 전체 설명 , 공개 키 인프라, X.509 인증서 및 인증 기관 이 튜토리얼의 범위를 초과합니다. 이 튜토리얼에서는 TLS 에 대한 사전 지식이 있고 유효한 X.509 인증서에 액세스할 수 있다고 가정합니다.
전제 조건
Cloud Manager에 대해 X.509 인증을 활성화하려면 단일 인증 기관(CA)에서 생성하고 서명한 유효한 TLS 인증서를 얻어야 합니다. 인증서 요구 사항에 대해 자세히 알아보려면 클라이언트 x를 참조하세요.509 MongoDB 매뉴얼의 인증서 .
X.509 클라이언트 인증서 인증을 사용하려면 배포서버에 대해 TLS 를 사용하도록 설정하고 구성 해야 합니다.
절차
이 튜토리얼에서는 X.509 인증서 인증 및 TLS 를 사용하도록 MongoDB 배포를 이미 구성했다고 가정합니다. 아직 인증하지 않은 경우 X.509 인증서를 사용하여 클라이언트 인증 및 TLS용 mongod 및 mongos 구성 튜토리얼을 참조하세요.
X.509에서 MongoDB 사용자 생성 subject
자동화가 활성화되면 Cloud Manager가 MongoDB Agent 인증을 managed합니다.
MongoDB Agent 인증을 위한 X.509 구성 은 Cloud Manager 프로젝트에 x.509 클라이언트 인증서 인증 활성화를 참조하세요.
MongoDB Agent 를 MongoDB deployment 에 연결하려면 배포서버 서버에 클라이언트 인증서의 subject
값에 해당하는 MongoDB 사용자를 만들어야 합니다.
MongoDB 사용자를 생성하는 위치는 LDAP 권한 부여 사용 여부에 따라 달라집니다.
참고
MongoDB 8.0부터 LDAP 인증 및 권한 부여는 더 이상 지원되지 않습니다. 이 기능은 사용할 수 있으며 MongoDB 8의 수명 기간 동안 변경 없이 계속 작동합니다. LDAP는 향후 주요 릴리스에서 제거될 예정입니다.
자세한 내용은 LDAP 사용 중단을 참조하세요.
MongoDB deployment 서버에서 LDAP 권한 부여 를 사용하는 경우, LDAP 서버 에서 MongoDB Agent 에 대한 LDAP 사용자 및 LDAP 그룹 을 생성해야 합니다. LDAP 사용자 및 그룹 을 만든 후 배포서버의 admin
데이터베이스 에 있는 MongoDB 역할 에 LDAP 그룹 을 매핑합니다.
경고
LDAP 권한 부여를 사용하는 경우 $external
데이터베이스 에 MongoDB 사용자를 생성 하지 마세요. $external
데이터베이스 에 MongoDB 사용자가 있고 LDAP 권한 부여 가 활성화된 경우 MongoDB 3.4 이상이 시작되지 않습니다.
MongoDB Agent 를 나타내는 MongoDB 사용자의 경우:
클라이언트 인증서의
subject
값을 사용자 사용자 이름 으로 사용하는 라는 LDAP 서버 에 새 LDAP 사용자를 만듭니다.이름이 MongoDB Agent의 역할 과 일치하는 LDAP 그룹 을 생성합니다.
적절한 권한을 사용하여
admin
데이터베이스 에 MongoDB Agent의 역할 을 생성합니다.참고
자동화가 활성화되면 자동화는 LDAP 인증 을 위해 MongoDB Agent 사용자에 대한 역할 을 자동으로 생성합니다.
LDAP 사용자를 LDAP 그룹 에 할당합니다.
팁
다음도 참조하세요.
방법을 학습 보세요: | ~를 참조하세요. |
---|---|
LDAP 사용자 만들기 | LDAP 구현 에 대한 문서입니다. |
LDAP 그룹 만들기 | LDAP 구현 에 대한 문서입니다. |
MongoDB Agent 에 적절한 역할 할당 | |
LDAP 그룹 및 MongoDB 역할 매핑 | MongoDB 매뉴얼의 LDAP 권한 부여 페이지에 있는LDAP 역할 섹션 . |
Cloud Manager 자동화 없이 LDAP 권한 부여 구성 | MongoDB 매뉴얼의 LDAP 권한 부여 페이지. |
LDAP 권한 부여 를 사용하지 않는 경우, 클라이언트 인증서의 subject
값을 MongoDB deployment 의 $external
데이터베이스 에 MongoDB Agent 의 사용자 이름 으로 추가해야 합니다. LDAP 권한 부여 가 없으면 MongoDB 는 $external
데이터베이스 를 사용하여 X에 대해 사용자를 인증합니다.509.
참고
MongoDB Agent에 적합한 역할을 찾으려면 MongoDB Agent 에 MongoDB Agent 액세스 권한을 참조하세요.
다음 명령을 사용하여 mongosh
에서 사용자를 생성합니다.
db.getSiblingDB("$external").createUser( { user : "<x.509 subject>", roles : [ { role : "clusterAdmin", db : "admin" }, { role : "readWriteAnyDatabase", db : "admin" }, { role : "userAdminAnyDatabase", db : "admin" }, { role : "dbAdminAnyDatabase", db : "admin" }, { role : "backup", db : "admin" }, { role : "restore", db : "admin" } ] } )
어떤 액세스 이 필요한지 학습 보려면 MongoDB Agent 에 필요한 액세스 권한을 참조하세요.
각 MongoDB 사용자는 고유한 X.509 인증서가 있어야 합니다.
MongoDB Agent 구성 파일 편집
X.509 인증을 사용하려면 TLS 용 MongoDB 에이전트를 구성해야 합니다.
MongoDB Agent 구성 파일에서 신뢰할 수 있는 CA 인증서의 절대 파일 경로를 지정합니다.
Cloud Manager 배포서버에 TLS 를 활성화한 경우, TLS 를 사용하도록 MongoDB Agent를 구성 해야 합니다. TLS 를 사용하도록 MongoDB Agent를 구성하려면 MongoDB 인스턴스의 인증서에 서명한 신뢰할 수 있는 인증 기관 인증서가 있어야 합니다.
MongoDB Agent의 설치 디렉토리 에서 httpsCAFile
필드를 PEM 형식의 인증서를 하나 이상 포함하는 파일 경로로 설정하도록 구성 파일을 편집합니다.
MongoDB Agent 구성 파일의 위치는 C:\MMSData\Automation\automation-agent.config
입니다.
참고
레거시 Agent를 사용하는 사람들이 더 쉽게 업그레이드할 수 있도록 하기 위한 방법으로 MongoDB Agent 구성 파일의 이름은 automation-agent.config
로 지정되었습니다.
MongoDB Agent 구성 파일의 위치는 /etc/mongodb-mms/automation-agent.config
입니다.
참고
레거시 Agent를 사용하는 사람들이 더 쉽게 업그레이드할 수 있도록 하기 위한 방법으로 MongoDB Agent 구성 파일의 이름은 automation-agent.config
로 지정되었습니다.
MongoDB Agent 구성 파일의 위치는 /etc/mongodb-mms/automation-agent.config
입니다.
참고
레거시 Agent를 사용하는 사람들이 더 쉽게 업그레이드할 수 있도록 하기 위한 방법으로 MongoDB Agent 구성 파일의 이름은 automation-agent.config
로 지정되었습니다.
MongoDB Agent 구성 파일의 위치는 /path/to/install/local.config
입니다.
예시
다음 명령을 사용하여 mongosh
을(를) 통해 연결합니다.
mongosh --tls --tlsCAFile /etc/ssl/ca.pem example.net:27017
그런 다음 구성 파일을 수정하고 다음 키/값 쌍을 설정합니다.
httpsCAFile=/etc/ssl/ca.pem
구성 파일을 저장합니다.
이러한 설정에 대해 자세히 알아보려면 Cloud Manager TLS 설정을 참조하세요.
MongoDB Agent 를 다시 시작합니다.
TLS를 사용 하도록 MongoDB 에이전트 구성에서 TLS 용 MongoDB 에이전트 구성에 대한 자세한 내용을 제공합니다.
MongoDB Agent를 구성한 후 Cloud Manager 프로젝트에 x.509 인증 활성화에 설명된 대로 Cloud Manager 인터페이스에서 X.509 인증 메커니즘을 구성합니다.