Docs Menu
Docs Home
/
MongoDB Ops Manager
/ /

X.509 인증을 위한 MongoDB Agent 구성

이 페이지의 내용

  • 고려 사항
  • 전제 조건
  • 절차

Ops Manager를 사용하면 Ops Manager 에이전트를 포함한 모든 클라이언트가 MongoDB deployment에 연결하는 데 사용하는 인증 메커니즘을 구성할 수 있습니다. 각 프로젝트에 대해 여러 인증 메커니즘을 활성화할 수 있지만 에이전트에 대해서는 하나의 메커니즘만 선택해야 합니다.

MongoDB 는 X를509 지원합니다. 인증서 보안 TLS연결에 사용할 인증 입니다. X.509 클라이언트 인증 을 사용하면 클라이언트가 사용자 이름 과 비밀번호 대신 인증서를 사용하여 서버를 인증할 수 있습니다.

참고

자동화를 사용하면 Ops Manager가 MongoDB Agent 인증을 managed합니다. 인증에 대해 자세히 알아보려면 Ops Manager 프로젝트에 x.509 인증 활성화를 참조하세요.

전송 계층 보안 에 대한 전체 설명 , 공개 키 인프라, X.509 인증서 및 인증 기관 이 튜토리얼의 범위를 초과합니다. 이 튜토리얼에서는 TLS 에 대한 사전 지식이 있고 유효한 X.509 인증서에 액세스할 수 있다고 가정합니다.

MongoDB Ops Manager에 대해 X.509 인증을 활성화하려면 단일 인증 기관(CA)이 생성하고 서명한 유효한 TLS 인증서를 얻어야 합니다. 인증서 요구 사항에 대해 자세히 알아보려면 클라이언트 x를 참조하세요.509 MongoDB 매뉴얼의 인증서 .

X.509 클라이언트 인증서 인증을 사용하려면 배포서버에 대해 TLS 사용하도록 설정하고 구성 해야 합니다.

이 튜토리얼에서는 X.509 인증서 인증 및 TLS 를 사용하도록 MongoDB 배포를 이미 구성했다고 가정합니다. 아직 인증하지 않은 경우 X.509 인증서를 사용하여 클라이언트 인증TLS용 mongod 및 mongos 구성 튜토리얼을 참조하세요.

자동화가 활성화되면 Ops Manager가 MongoDB Agent 인증을 managed합니다.

MongoDB Agent 인증을 위한 X.509를 구성하려면 Ops Manager 프로젝트에 x.509 클라이언트 인증서 인증 활성화를 참조하세요.

MongoDB Agent 를 MongoDB deployment 에 연결하려면 배포서버 서버에 클라이언트 인증서의 subject 값에 해당하는 MongoDB 사용자를 만들어야 합니다.

MongoDB 사용자를 생성하는 위치는 LDAP 권한 부여 사용 여부에 따라 달라집니다.

참고

MongoDB 8.0부터 LDAP 인증 및 권한 부여는 더 이상 지원되지 않습니다. 이 기능은 사용할 수 있으며 MongoDB 8의 수명 기간 동안 변경 없이 계속 작동합니다. LDAP는 향후 주요 릴리스에서 제거될 예정입니다.

자세한 내용은 LDAP 사용 중단을 참조하세요.

MongoDB deployment 서버에서 LDAP 권한 부여 를 사용하는 경우, LDAP 서버 에서 MongoDB Agent 에 대한 LDAP 사용자 및 LDAP 그룹 을 생성해야 합니다. LDAP 사용자 및 그룹 을 만든 후 배포서버의 admin 데이터베이스 에 있는 MongoDB 역할 에 LDAP 그룹 을 매핑합니다.

경고

LDAP 권한 부여를 사용하는 경우 $external 데이터베이스 에 MongoDB 사용자를 생성 하지 마세요. $external 데이터베이스 에 MongoDB 사용자가 있고 LDAP 권한 부여 가 활성화된 경우 MongoDB 3.4 이상이 시작되지 않습니다.

MongoDB Agent 를 나타내는 MongoDB 사용자의 경우:

  1. 클라이언트 인증서의 subject 값을 사용자 사용자 이름 으로 사용하는 라는 LDAP 서버 에 새 LDAP 사용자를 만듭니다.

  2. 이름이 MongoDB Agent의 역할 과 일치하는 LDAP 그룹 을 생성합니다.

  3. 적절한 권한을 사용하여 admin 데이터베이스 에 MongoDB Agent의 역할 을 생성합니다.

    참고

    자동화가 활성화되면 자동화는 LDAP 인증 을 위해 MongoDB Agent 사용자에 대한 역할 을 자동으로 생성합니다.

  4. LDAP 사용자를 LDAP 그룹 에 할당합니다.

다음도 참조하세요.

방법을 학습 보세요:
~를 참조하세요.
LDAP 사용자 만들기
LDAP 구현 에 대한 문서입니다.
LDAP 그룹 만들기
LDAP 구현 에 대한 문서입니다.
MongoDB Agent 에 적절한 역할 할당
LDAP 그룹 및 MongoDB 역할 매핑
MongoDB 매뉴얼의 LDAP 권한 부여 페이지에 있는LDAP 역할 섹션 .
LDAP 자동화 없이 권한 부여 MongoDB Ops Manager 구성
MongoDB 매뉴얼의 LDAP 권한 부여 페이지.

LDAP 권한 부여 를 사용하지 않는 경우, 클라이언트 인증서의 subject 값을 MongoDB deployment 의 $external 데이터베이스 에 MongoDB Agent 의 사용자 이름 으로 추가해야 합니다. LDAP 권한 부여 가 없으면 MongoDB 는 $external 데이터베이스 를 사용하여 X에 대해 사용자를 인증합니다.509.

참고

MongoDB Agent에 적합한 역할을 찾으려면 MongoDB Agent 에 MongoDB Agent 액세스 권한을 참조하세요.

다음 명령을 사용하여 mongosh 에서 사용자를 생성합니다.

db.getSiblingDB("$external").createUser(
{
user : "<x.509 subject>",
roles : [
{ role : "clusterAdmin", db : "admin" },
{ role : "readWriteAnyDatabase", db : "admin" },
{ role : "userAdminAnyDatabase", db : "admin" },
{ role : "dbAdminAnyDatabase", db : "admin" },
{ role : "backup", db : "admin" },
{ role : "restore", db : "admin" }
]
}
)

어떤 액세스 이 필요한지 학습 보려면 MongoDB Agent 에 필요한 액세스 권한을 참조하세요.

각 MongoDB 사용자는 고유한 X.509 인증서가 있어야 합니다.

X.509 인증을 사용하려면 TLS 용 MongoDB 에이전트를 구성해야 합니다.

1

Ops Manager 배포서버에 TLS 를 활성화한 경우, TLS 를 사용하도록 MongoDB Agent를 구성 해야 합니다. TLS 를 사용하도록 MongoDB Agent를 구성하려면 MongoDB 인스턴스의 인증서에 서명한 신뢰할 수 있는 인증 기관 인증서가 있어야 합니다.

MongoDB Agent의 설치 디렉토리 에서 httpsCAFile 필드를 PEM 형식의 인증서를 하나 이상 포함하는 파일 경로로 설정하도록 구성 파일을 편집합니다.

MongoDB Agent 구성 파일의 위치는 C:\MMSData\Automation\automation-agent.config입니다.

참고

레거시 Agent를 사용하는 사람들이 더 쉽게 업그레이드할 수 있도록 하기 위한 방법으로 MongoDB Agent 구성 파일의 이름은 automation-agent.config 로 지정되었습니다.

MongoDB Agent 구성 파일의 위치는 /etc/mongodb-mms/automation-agent.config입니다.

참고

레거시 Agent를 사용하는 사람들이 더 쉽게 업그레이드할 수 있도록 하기 위한 방법으로 MongoDB Agent 구성 파일의 이름은 automation-agent.config 로 지정되었습니다.

MongoDB Agent 구성 파일의 위치는 /etc/mongodb-mms/automation-agent.config입니다.

참고

레거시 Agent를 사용하는 사람들이 더 쉽게 업그레이드할 수 있도록 하기 위한 방법으로 MongoDB Agent 구성 파일의 이름은 automation-agent.config 로 지정되었습니다.

MongoDB Agent 구성 파일의 위치는 /path/to/install/local.config입니다.

예시

다음 명령을 사용하여 mongosh 을(를) 통해 연결합니다.

mongosh --tls --tlsCAFile /etc/ssl/ca.pem example.net:27017

그런 다음 구성 파일을 수정하고 다음 키/값 쌍을 설정합니다.

httpsCAFile=/etc/ssl/ca.pem

구성 파일을 저장합니다.

이러한 설정에 대해 자세히 알아보려면 Ops Manager TLS 설정을 참조하세요.

2

TLS를 사용 하도록 MongoDB 에이전트 구성에서 TLS 용 MongoDB 에이전트 구성에 대한 자세한 내용을 제공합니다.

MongoDB Agent를 구성한 후 Ops Manager 프로젝트에 x.509 인증 활성화에 설명된 대로 Ops Manager 인터페이스에서 X.509 인증 메커니즘을 구성합니다.

돌아가기

Kerberos

이 페이지의 내용