엔터프라이즈 인증 메커니즘
개요
이 가이드에서는 MongoDB Enterprise Edition에서만 사용할 수 있는 각 인증 메커니즘 을 사용하여 MongoDB로 인증하는 방법을 배울 수 있습니다.
최신 버전의 MongoDB Enterprise Edition에서 다음 메커니즘을 사용할 수 있습니다.
다른 메커니즘을 사용하여 인증하려면 인증 메커니즘 가이드 를 참조하세요. MongoDB cluster 에 연결을 설정하는 방법에 대한 자세한 내용은 연결 가이드를 참조하세요.
인증 메커니즘 지정
다음 중 하나를 사용하여 MongoDB에 연결할 때 인증 메커니즘 및 자격 증명을 지정할 수 있습니다.
연결 문자열
MongoCredential팩토리 메서드
연결 문자열 (또는 연결 URL)은 MongoDB 클러스터에 연결하고 인증하는 방법을 지정합니다.
연결 문자열을 사용하여 인증하려면 연결 문자열에 설정을 포함하고 MongoClients.create() 메서드에 전달하여 MongoClient를 인스턴스화합니다. Connection String 탭을 선택하여 연결 문자열을 사용하여 인증하는 구문을 확인합니다.
또는 MongoCredential 클래스를 사용하여 인증 세부 정보를 지정할 수 있습니다. MongoCredential 클래스에는 인증 메커니즘과 자격 증명이 포함된 인스턴스를 구성하는 정적 팩토리 메서드가 포함되어 있습니다. MongoCredential 헬퍼 클래스를 사용하는 경우 MongoClient 구성 시 MongoClientSettings.Builder 클래스를 사용하여 연결 설정을 구성해야 합니다. MongoCredential 탭을 선택하면 MongoCredential을 사용하여 인증하는 구문을 볼 수 있습니다.
이러한 클래스 및 메서드에 대한 자세한 내용은 다음 API 문서를 참조하세요.
메커니즘
Kerberos(GSSAPI)
일반 보안 서비스 API(GSSAPI) 인증 메커니즘을 사용하면 사용자가 사용자의 주체 이름을 사용하여 Kerberos 서비스를 인증할 수 있습니다.
참고
드라이버가 GSSAPI RFC-4652 를 사용하여 인증하기 때문에 이 메서드는 대신 GSSAPI 인증 메커니즘을 참조합니다.Kerberos SASL 메커니즘.
다음 코드 스니펫은 다음 자리 표시자를 사용하여 인증 메커니즘을 지정하는 방법을 보여줍니다.
username- URL로 인코딩된 주체 이름(예: "username%40REALM.ME"hostname- 클라이언트가 액세스할 수 있는 MongoDB 배포서버의 네트워크 주소port- MongoDB 배포서버의 포트 번호
이 인증 메커니즘 지정에 대한 지침과 예제 코드를 보려면 아래 Connection String 또는 MongoCredential 탭을 선택하세요.
연결 문자열을 사용하여 GSSAPI 인증 메커니즘을 지정하려면 다음을 수행합니다.
authMechanismURL 매개변수를GSSAPI값에 할당합니다.(선택 사항)
authSourceURL 매개변수를$external값에 할당합니다.
참고
GSSAPI 메커니즘을 지정하는 경우 $external 이외의 값에 authSource 를 할당할 수 없습니다.
MongoClient을(를) 인스턴스화하는 코드는 다음과 같이 작성해야 합니다.
MongoClient mongoClient = MongoClients.create("<db_username>@<hostname>:<port>/?authSource=$external&authMechanism=GSSAPI");
MongoCredential 클래스를 사용하여 GSSAPI 인증 메커니즘을 지정하려면 createGSSAPICredential() 메서드를 사용합니다. MongoClient 를 인스턴스화하는 코드는 다음과 같이 작성해야 합니다.
MongoCredential credential = MongoCredential.createGSSAPICredential(<db_username>); MongoClient mongoClient = MongoClients.create( MongoClientSettings.builder() .applyToClusterSettings(builder -> builder.hosts(Arrays.asList(new ServerAddress("<hostname>", <port>)))) .credential(credential) .build());
Kerberos 티켓 을 획득하려면 , GSSAPI Java 라이브러리를 사용하려면 영역 및 키 배포 센터(KDC) 시스템 속성을 지정해야 합니다. 다음 예시에서 샘플 설정을 참조하세요.
java.security.krb5.realm=MYREALM.ME java.security.krb5.kdc=mykdc.myrealm.me
Kerberos 설정에 따라 다음 추가 MongoCredential 메커니즘 속성 중 하나 이상을 지정해야 할 수도 있습니다.
SERVICE_NAMECANONICALIZE_HOST_NAMEJAVA_SUBJECTJAVA_SASL_CLIENT_PROPERTIESJAVA_SUBJECT_PROVIDER
중요
MongoCredential 을(를) 사용하여 다음과 같은 GSSAPI 속성만 지정할 수 있습니다.
JAVA_SUBJECTJAVA_SASL_CLIENT_PROPERTIESJAVA_SUBJECT_PROVIDER
지정 방법을 보려면 MongoCredential 탭을 선택합니다.
GSSAPI 추가 속성 중 하나를 지정하려면 <PROPERTY_NAME>:<value> 형식을 사용하여 연결 문자열에 URL 매개 변수로 포함합니다.
GSSAPI 및 추가 속성을 사용하여 MongoClient 를 인스턴스화하는 코드는 다음과 같습니다.
MongoClient mongoClient = MongoClients.create("<db_username>@<hostname>:<port>/?authSource=$external&authMechanism=GSSAPI&authMechanismProperties=SERVICE_NAME:myService");
GSSAPI 추가 속성 중 하나를 지정하려면 MongoCredential 인스턴스에서 withMechanismProperty() 메서드를 호출하고 속성 이름과 값을 매개변수로 전달합니다. MongoCredential 클래스에 정의된 속성 이름 상수를 사용합니다.
SERVICE_NAME_KEY 또는 JAVA_SUBJECT_KEY 탭을 선택하여 GSSAPI 및 선택한 속성을 사용하는 MongoCredential 를 인스턴스화하는 샘플 코드를 확인합니다.
MongoCredential credential = MongoCredential.createGSSAPICredential(<db_username>); credential = credential.withMechanismProperty(MongoCredential.SERVICE_NAME_KEY, "myService");
LoginContext loginContext = new LoginContext(<LoginModule implementation from JAAS config>); loginContext.login(); Subject subject = loginContext.getSubject(); MongoCredential credential = MongoCredential.createGSSAPICredential(<db_username>); credential = credential.withMechanismProperty(MongoCredential.JAVA_SUBJECT_KEY, subject);
기본적으로 Java 드라이버는 MongoClient 인스턴스별로 Kerberos 티켓을 캐시합니다. 배포서버에서 MongoClient 인스턴스를 자주 생성하고 폐기해야 하는 경우, 기본 Kerberos 티켓 캐싱 동작을 프로세스별로 캐시하도록 변경하여 성능을 개선할 수 있습니다.
프로세스별로 Kerberos 티켓을 캐시하려면 연결 문자열 인증 메커니즘이 JAVA_SUBJECT_PROVIDER 메커니즘 속성을 지원하지 않으므로 MongoCredential 인증 메커니즘을 사용해야 합니다. 프로세스별로 Kerberos 티켓을 캐시하려면 MongoCredential 탭을 선택하여 이 작업을 수행하는 방법을 알아보세요.
프로세스별로 Kerberos JAVA_SUBJECT_PROVIDER 티켓을 캐시하려면 메커니즘 속성을 지정하고 KerberosSubjectProvider 를 제공해야 MongoCredential 합니다. 인스턴스에서. 프로세스별로 Kerberos 티켓을 캐시하도록 Java 드라이버를 구성하는 코드는 다음과 유사해야 합니다.
/* all MongoClient instances sharing this instance of KerberosSubjectProvider will share a Kerberos ticket cache */ String myLoginContext = "myContext"; MongoCredential credential = MongoCredential.createGSSAPICredential(<db_username>); /* login context defaults to "com.sun.security.jgss.krb5.initiate" if unspecified in KerberosSubjectProvider */ credential = credential.withMechanismProperty(MongoCredential.JAVA_SUBJECT_PROVIDER_KEY, new KerberosSubjectProvider(myLoginContext));
LDAP(일반)
MongoDB Enterprise Edition 3.4 이상에서 사용할 수 있습니다.
디렉토리 서버 사용자 이름 및 비밀번호를 사용하여 LDAP(Lightweight Directory Access Protocol) 서버에 인증할 수 있습니다.
팁
인증 메커니즘의 이름 PLAIN 은 LDAP RFC- 에 정의된 PLAIN 단순 인증 및 보안 계층(SASL) 을4616 사용하여 인증하기 때문에 대신 로 지정됩니다. .
매개 authMechanism 변수를 로 설정하고 PLAIN LDAP 연결 string 에 사용자이름 및 비밀번호를 포함하여 이 인증 메커니즘을 지정할 수 있습니다.
다음 코드 스니펫은 다음 자리 표시자를 사용하여 인증 메커니즘을 지정하는 방법을 보여줍니다.
username- LDAP 사용자 이름password- LDAP 사용자의 비밀번호hostname- 클라이언트가 액세스할 수 있는 MongoDB 배포서버의 네트워크 주소port- MongoDB 배포서버의 포트 번호
이 인증 메커니즘 지정에 대한 지침과 예제 코드를 보려면 아래 Connection String 또는 MongoCredential 탭을 선택하세요.
연결 문자열을 사용하여 LDAP(일반) 인증 메커니즘을 지정하려면 다음을 수행합니다.
authMechanismURL 매개변수를PLAIN값에 할당합니다.(선택 사항)
authSourceURL 매개변수를$external값에 할당합니다.
참고
PLAIN 메커니즘을 지정하는 경우 $external 이외의 값에 authSource 를 할당할 수 없습니다.
MongoClient을(를) 인스턴스화하는 코드는 다음과 같이 작성해야 합니다.
MongoClient mongoClient = MongoClients.create("<db_username>:<db_password>@<hostname>:<port>/?authSource=$external&authMechanism=PLAIN");
MongoCredential 클래스를 사용하여 LDAP(PLAIN) 인증 메커니즘을 지정하려면 createPlainCredential() 메서드를 사용합니다. MongoClient 를 인스턴스화하는 코드는 다음과 같이 작성해야 합니다.
MongoCredential credential = MongoCredential.createPlainCredential(<db_username>, "$external", <db_password>); MongoClient mongoClient = MongoClients.create( MongoClientSettings.builder() .applyToClusterSettings(builder -> builder.hosts(Arrays.asList(new ServerAddress("<hostname>", <port>)))) .credential(credential) .build());