네이티브 LDAP를 통해 자체 관리형 Active Directory를 사용하여 사용자 인증 및 권한 부여하기

MongoDB를 실행하는 서버에 대해 TLS/SSL 구성

TLS/SSL을 통해 AD (AD) 서버에 연결하려면 mongod 또는 mongos 이(가) AD 서버의 인증 기관(CA) 인증서에 액세스해야 합니다.

Linux에서는 ldap.conf 파일의 TLS_CACERT 또는 TLS_CACERTDIR 옵션을 통해 AD 서버의 CA 인증서를 지정합니다.

플랫폼의 패키지 관리자는 MongoDB Enterprise의 libldap 종속성을 설치하는 동안 ldap.conf 파일을 생성합니다. 구성 파일 또는 참조된 옵션에 대한 전체 문서를 확인하려면 ldap.conf를 참조하세요.

Microsoft Windows 에서는 플랫폼의 자격 증명 관리 도구를 사용하여 AD 서버의 인증 기관(CA) 인증서를 로드합니다. 정확한 자격 증명 관리 도구는 Windows 버전에 따라 다릅니다. 이 도구를 사용하려면 사용 중인 Windows 버전에 대한 설명서를 참조하세요.

mongod 또는 mongos 가 AD CA 파일에 액세스할 수 없는 경우, Active Directory 서버에 대한 TLS/SSL 연결을 생성할 수 없습니다.

선택적으로 TLS/SSL을 비활성화하려면 security.ldap.transportSecurity를 none으로 설정합니다.

MongoDB 서버에 연결합니다.

--host 및 --port 옵션을 통해 mongosh(을)를 사용해 MongoDB 서버에 연결합니다.

mongosh --host <hostname> --port <port>

현재 MongoDB 서버가 인증을 시행하는 경우 userAdmin 또는 userAdminAnyDatabase에서 제공하는 것과 같은 역할 관리 권한이 있는 사용자로 admin 데이터베이스에 인증해야 합니다. MongoDB 서버의 구성된 인증 메커니즘에 적합한 --authenticationMechanism을 포함하세요.

mongosh --host <hostname> --port <port> --username <user> --password <pass> --authenticationDatabase="admin" --authenticationMechanism="<mechanism>"

사용자 관리 역할을 만듭니다.

AD 를 사용하여 MongoDB 사용자를 관리하려면 userAdmin 또는 userAdminAnyDatabase 에서제공하는 역할과 같이 역할을 생성하고 관리할 수 있는 admin 데이터베이스에 역할을 하나 이상 생성해야 합니다.

역할의 이름은 AD 그룹의 고유 이름과 정확히 일치해야 합니다. 이 그룹에는 AD 사용자가 한 명 이상 있어야 합니다.

사용 가능한 Active Directory 그룹 이 주어지면 다음 작업이 수행됩니다.

• AD 그룹 CN=dba,CN=Users,DC=example,DC=com 에 해당하는 역할을 생성합니다.

• admin 데이터베이스에서 userAdminAnyDatabase 역할을 할당합니다.

var admin = db.getSiblingDB("admin")
admin.createRole(
   {
     role: "CN=dba,CN=Users,DC=example,DC=com",
     privileges: [],
     roles: [ "userAdminAnyDatabase" ]
   }
)

사용자가 사용자 관리자 권한을 가져야 하는 각 데이터베이스에 userAdmin 역할을 부여할 수도 있습니다. 이러한 역할은 역할 생성 및 관리에 필요한 권한을 제공합니다.

MongoDB 구성 파일을 생성합니다.

MongoDB 구성 파일은 파일 확장자가 .conf인 일반 텍스트 YAML 파일입니다.

• 기존 MongoDB 배포를 업그레이드하는 경우 현재 구성 파일을 복사하고 해당 복사본에서 작업하세요.

• (Linux만 해당) 신규 배포이고 플랫폼의 패키지 관리자를 사용하여 MongoDB Enterprise를 설치한 경우, 설치에는 /etc/mongod.conf 기본값 구성 파일이 포함됩니다. 해당 기본값 구성 파일을 사용하거나 해당 파일의 복사본을 만들어 작업할 수 있습니다.

• 해당 파일이 없는 경우 확장자가 .conf인 빈 파일을 만들고 새 구성 파일에서 작업합니다.

Active Directory에 연결하도록 MongoDB를 구성합니다.

MongoDB 구성 파일에서 security.ldap.servers 를 AD 서버의 호스트 및 포트로 설정합니다. AD 인프라에 복제 목적의 여러 AD 서버가 포함된 경우 서버의 호스트와 포트를 쉼표로 구분된 목록으로 security.ldap.servers 지정하세요.

또한 security.authorization 를 enabled 로 설정하고 setParameter authenticationMechanisms 를 PLAIN로 설정하여 LDAP 인증을 사용하도록 설정해야 합니다.

security:
  authorization: "enabled"
  ldap:
    servers: "activedirectory.example.net"
setParameter:
  authenticationMechanisms: 'PLAIN'

쿼리를 수행하려면 MongoDB가 AD 서버에 바인딩되어야 합니다. 기본적으로 MongoDB는 간단한 인증 메커니즘을 사용하여 AD 서버에 자체적으로 바인딩합니다.

또는 구성 파일에서 다음 설정을 구성하여 SASL 를 사용하여 AD 서버에 바인딩할 수 있습니다.

• security.ldap.bind.method를 sasl로 설정합니다.

• security.ldap.bind.saslMechanisms, AD 서버가 지원하는 쉼표로 구분된 SASL 메커니즘 문자열을 지정합니다.

이 튜토리얼에서는 기본값 simple LDAP 인증 메커니즘을 사용합니다.

권한 부여를 위한 LDAP 쿼리 템플릿을 구성합니다.

MongoDB 구성 파일에서 security.ldap.authz.queryTemplate을 RFC4516 형식의 LDAP 쿼리 URL 템플릿으로 설정합니다.

템플릿에서는 다음 중 하나를 사용할 수 있습니다.

• {USER} 플레이스홀더를 사용하여 인증된 사용자 이름을 LDAP 쿼리 URL로 대체할 수 있습니다.

• {PROVIDED_USER} 인증 또는 LDAP 변환 전에 제공된 사용자 이름은 LDAP 쿼리로 대체하는 자리 표시자입니다.

security:
  ldap:
    authz:
      queryTemplate:
        "DC=example,DC=com??sub?(&(objectClass=group)(member:1.2.840.113556.1.4.1941:={USER}))"

MongoDB는 반환된 각 그룹 DN 을 admin 데이터베이스의 역할에 매핑합니다. 매핑된 각 그룹 DN 에 대해 admin 데이터베이스에 이름이 정확히 DN 과 일치하는 기존 역할이 있는 경우 MongoDB는 사용자에게 해당 역할에 할당된 역할 및 권한을 부여합니다.

매칭 규칙 LDAP_MATCHING_RULE_IN_CHAIN 에서는 인증 사용자의 전체 고유 이름 을 제공해야 합니다. 사용자가 과 같은 다른 사용자 이름 형식을 사용하여 인증하는 user principal name 경우 를 사용하여 들어오는 사용자 이름을 DN 으로 변환해야 security.ldap.userToDNMapping 합니다.

선택 사항: Active Directory를 통한 인증을 위해 들어오는 사용자 이름을 변환합니다.

사용자가 전체 LDAP 고유 이름이 아닌 사용자 이름으로 인증하는 경우 LDAP 인증 또는 권한 부여를 지원하도록 사용자 이름을 변환해야 할 수 있습니다. MongoDB는 인증과 권한 부여 모두에 변환된 사용자 이름을 사용합니다.

MongoDB 구성 파일에서 설정하여 userToDNMapping 인증 사용자가 제공한 사용자 이름을 을 지원하는 AD 고유 queryTemplate 이름으로 변환합니다.

security:
  ldap:
    userToDNMapping:
      '[
         {
            match : "(.+)",
            ldapQuery: "DC=example,DC=com??sub?(userPrincipalName={0})"
         }
    ]'

배포서버와 일치하도록 지정된 샘플 구성을 수정해야 합니다. 예를 들어, ldapQuery 기본 고유 이름 은 사용자 엔터티가 포함된 기본 고유 이름 과 일치해야 합니다. AD 배포를 지원하기 위해 다른 수정이 필요할 수 있습니다.

DC=example,DC=com??sub?(userPrincipalName=alice@ENGINEERING.EXAMPLE.COM)

쿼리 자격 증명을 구성합니다.

MongoDB는 AD 서버에서 쿼리를 수행하려면 자격 증명이 필요합니다.

구성 파일에서 다음 설정을 구성합니다.

• , AD 서버에서 쿼리를security.ldap.bind.queryUser mongos 수행하기 mongod 위해 또는 바인드하는 Active Directory 사용자를 지정합니다.

• security.ldap.bind.queryPassword를 통해 지정된 queryUser의 비밀번호를 지정합니다.

security:
  ldap:
    bind:
      queryUser: "mongodbadmin@dba.example.com"
      queryPassword: "secret123"

Windows MongoDB Server에서는 security.ldap.bind.useOSDefaults 를 true 로 설정하여 queryUser 및 queryPassword 대신 OS 사용자의 자격 증명을 사용할 수 있습니다.

queryUser에는 MongoDB를 대신하여 모든 LDAP 쿼리를 수행할 수 있는 권한이 있어야 합니다.

선택 사항: 추가 구성 설정을 추가합니다.

배포에 필요한 추가 구성 옵션을 추가합니다. 예를 들어 원하는 storage.dbPath 를 지정하거나 기본 net.port 번호를 변경할 수 있습니다.

mongod 및 mongos 는 기본적으로 로컬 호스트에 바인딩됩니다. 배포 구성원이 다른 호스트에서 실행되거나 원격 클라이언트를 배포에 연결하려는 경우 net.bindIp 설정을 지정해야 합니다.

Active Directory 인증 및 권한 부여를 사용하여 MongoDB Server를 시작합니다.

이 절차 중에 생성된 구성 파일의 경로를 지정하여 --config 옵션으로 MongoDB 서버를 시작합니다. 현재 MongoDB 서버가 실행 중인 경우 서버를 중지할 수 있도록 적절한 준비를 합니다.

mongod --config <path-to-config-file>

Windows MongoDB 배포에서는 {7 mongod.exe 을(를) 사용해야 합니다 mongod

MongoDB 서버에 연결합니다.

MongoDB 서버에 연결하여 직접 또는 전이적 그룹 멤버십이 userAdmin과 userAdminAnyDatabase가 있는 admin 데이터베이스의 MongoDB 역할 또는 이와 동등한 권한이 있는 사용자 지정 역할에 해당하는 사용자로 인증합니다.

mongosh를 사용하여 MongoDB 서버에 인증하고 다음 옵션을 설정합니다.

• --host 를 MongoDB 서버의 호스트 이름으로 사용

• --port 를 MongoDB 서버의 포트로 사용

• --username 사용자의 사용자 이름에

• --password 사용자의 비밀번호에

• --authenticationMechanism to 'PLAIN'

• --authenticationDatabase to '$external'

mongosh --username sam@DBA.EXAMPLE.COM --password  --authenticationMechanism 'PLAIN' --authenticationDatabase '$external' --host <hostname> --port <port>

Windows MongoDB 배포에서는mongosh 대신 mongo.exe 를 사용해야 합니다

구성된 활성화 디렉토리 사용자가 주어지면 사용자는 성공적으로 인증되고 적절한 권한을 받습니다.

반환된 AD 그룹을 매핑하기 위한역할을 만듭니다.

MongoDB 권한 부여에 사용하려는 AD 서버의 각 그룹에 대해 MongoDB 서버의 admin 데이터베이스에서 일치하는 역할을 생성해야 합니다.

db.getSiblingDB("admin").createRole(
   {
     role: "CN=PrimaryApplication,CN=Users,DC=example,DC=com",
     privileges: [],
     roles: [
       { role: "readWrite", db: "PrimaryApplication" }
     ]
   }
)

기존 사용자를 $external 에서 ActiveDirectory 서버 로전환합니다.

$external 데이터베이스에 구성된 사용자 로 기존 설치를 업그레이드하는 경우 AD 인증 및 권한 부여를 위해 MongoDB를 구성한 후 각 사용자가 액세스할 수 있도록 다음 요구 사항을 충족해야 합니다.

• 사용자는 AD 서버에 해당 사용자 객체가 있습니다.

• 사용자는 AD 서버에서 적절한 그룹의 멤버십이 있습니다.

• MongoDB에는 사용자의 AD 그룹에 따라 명명된 admin 데이터베이스에 대한 역할이 포함되어 있으므로 권한이 부여된 사용자가 해당 권한을 유지할 수 있습니다.

{
  user : "joe@ANALYTICS.EXAMPLE.COM",
  roles: [
    { role : "read", db : "web_analytics" },
    { role : "read", db : "PrimaryApplication" }
  ]
}

db.getSiblingDB("admin").createRole(
   {
     role: "CN=marketing,CN=Users,DC=example,DC=com",
     privileges: [],
     roles: [
       { role: "read", db: "web_analytics" }
       { role: "read", db: "PrimaryApplication" }
     ]
   }
)

$external 가 아닌 데이터베이스의 사용자가 MongoDB에 액세스할 수 있도록 계속 허용하려면 SCRAM 인증 메커니즘을 포함해야 합니다(예: SCRAM-SHA-1 및/또는 SCRAM-SHA-256)을 setParameter authenticationMechanisms 구성 옵션에 포함합니다. 예를 들면 다음과 같습니다.

setParameter:
  authenticationMechanisms: "PLAIN,SCRAM-SHA-1,SCRAM-SHA-256"

또는 위의 절차에 따라$external 가 아닌 사용자를 AD 로 전환합니다.