Ops Manager 프로젝트에 Kerberos 인증 활성화
개요
Ops Manager를 사용하면 Ops Manager 에이전트를 포함한 모든 클라이언트가 MongoDB deployment에 연결하는 데 사용하는 인증 메커니즘을 구성할 수 있습니다. 각 프로젝트에 대해 여러 인증 메커니즘을 활성화할 수 있지만 에이전트에 대해서는 하나의 메커니즘만 선택해야 합니다.
MongoDB Enterprise는 Kerberos 서비스를 사용한 인증을 지원합니다. Kerberos는 대규모 클라이언트/서버 시스템을 위한 업계 표준 인증 프로토콜입니다.
중요
Kerberos 배포 설정 및 구성은 이 문서의 범위를 벗어납니다. 이 튜토리얼에서는 각 에이전트에 대해 Kerberos 주체를 구성했고 각 에이전트에 대해 유효한 키탭 파일이 있다고 가정합니다.
Kerberos로 MongoDB를 인증하려면 다음을 수행해야 합니다.
Kerberos 배포를 올바르게 구성해야 합니다.
MongoDB에 대한 Kerberos 서비스 주체 를 구성합니다.
에이전트에 대한 Kerberos 사용자 주체 를 추가합니다.
MongoDB 매뉴얼의 Kerberos 인증 섹션에서 Kerberos와 함께 MongoDB를 사용하는 방법에 대해 자세히 설명합니다.
고려 사항
Kerberos (GSSAPI)
MongoDB Enterprise 빌드에서만 사용할 수 있습니다. MongoDB Community 빌드 에서 기존 배포 실행 경우, 먼저 배포를 MongoDB Enterprise로 업그레이드 해야 MongoDB Ops Manager 프로젝트 에 대해 Kerberos (GSSAPI)
를 활성화 할 수 있습니다.
이 튜토리얼에서는 Ops Manager 프로젝트 중 하나에 대해 Kerberos를 활성화하는 방법과 Kerberos 지원 배포에 연결하도록 Ops Manager 에이전트를 구성하는 방법을 설명합니다.
참고
프로젝트의 인증 및 TLS 설정을 재설정 하려면 먼저 Ops Manager가 프로젝트에서 managed 모든 MongoDB 배포 를 관리 해제합니다.
절차
이러한 절차에서는 자동화를 사용할 때 Kerberos 인증을 구성하고 활성화하는 방법을 설명합니다. Ops Manager가 모니터링 또는 백업을 managed하지 않는 경우 Kerberos를 사용하여 인증하도록 수동으로 구성해야 합니다.
Kerberos용 MongoDB Agent 구성을 지침 참조하세요.
Kerberos 기반 인증을 위한 기존 Linux 배포 구성
Ops Manager를 사용하여 프로젝트에서 Linux의 기존 배포를 managed하는 경우, 프로젝트에 대해 Kerberos 인증을 활성화하기 전에 프로젝트의 모든 MongoDB 배포가 Kerberos 인증을 사용하도록 구성되어야 합니다.
각 배포에 대한 Kerberos 옵션을 구성한 경우 Ops Manager 프로젝트에 대해 Kerberos를 활성화할 수 있습니다.
Ops Manager 프로젝트에 Kerberos 활성화
배포서버 서버에 대한 대화 상자로 이동합니다.Security Settings
이미 표시되어 있지 않은 경우 탐색 모음의 Organizations 메뉴에서 원하는 프로젝트가 포함된 조직을 선택합니다.
이미 표시되어 있지 않은 경우 Projects 탐색 모음의 프로젝트 메뉴에서 원하는 프로젝트를 선택합니다.
아직 표시되지 않은 경우 사이드바에서 Deployment 클릭하세요.
Security 탭을 클릭합니다.
Settings 탭을 클릭합니다.
다음 작업 중 하나를 수행합니다.
이 프로젝트에 대해 TLS, 인증 또는 권한 부여 설정을 처음 구성하는 경우 Get Started 을(를) 클릭합니다.
이 프로젝트에 대한 TLS 인증 또는 권한 부여 설정을 이미 구성한 경우 Edit을(를) 클릭합니다.
선택 사항: TLS 설정을 지정합니다.
필드 | 작업 |
---|---|
MongoDB deployment TLS(전송 계층 보안) | 이 슬라이더를 ON(으)로 전환합니다. |
TLS CA 파일 경로 | TLS 인증 기관 파일은 인증 기관의 루트 인증서 체인을 포함하는 인증서 파일의 암호화된 비공개 키는 MongoDB 프로세스를 실행하는 모든 호스트에서 TLS 인증 기관 파일의 파일 경로를 입력합니다.
이렇게 하면 프로젝트의 MongoDB 프로세스에 대한 배포서버의 각 호스트에 지정된 경로에 TLS 인증 기관이 있는지 테스트하려면 Validate을(를) 클릭하세요. |
클러스터 TLS CA 파일 경로 | 클라이언트가 연결을 구축할 때 제시한 인증서의 유효성을 검사할 때 사용된 인증 기관의 루트 인증서 체인이 포함되어 있는
|
클라이언트 인증서 모드 | TLS 지원 MongoDB deployment에 연결할 때 클라이언트 애플리케이션 또는 MongoDB Agent가 TLS 인증서를 제시해야 하는지 여부를 선택합니다. 각 MongoDB deployment는 연결을 시도할 때 이러한 클라이언트 호스트의 인증서를 확인합니다. 클라이언트 TLS 인증서를 요구하도록 선택한 경우 인증서가 유효한지 확인하세요. 허용되는 값은 다음과 같습니다. |
Kerberos (GSSAPI) 인증에는 TLS가 필요하지 않습니다.
인증 메커니즘을 선택합니다.
MongoDB Agent Connections to Deployment 섹션에서 Kerberos (GSSAPI)를 선택합니다.
SASL Service Name 은 mongod 또는 mongos 의 Kerberos 서비스 주체 이름입니다 .
중요
LDAP 권한 부여를 사용하지 않는 경우, MongoDB deployment의 $external
데이터베이스에 사용자를 추가해야 합니다. 예제는 Kerberos 인증을 참조하세요.
LDAP 권한 부여 설정을 구성합니다.
중요
MongoDB 3.4부터는 먼저 LDAP 권한 부여를 활성화하는 한 $external
데이터베이스에 로컬 사용자 문서 없이도 LDAP, Kerberos 및 X.509 인증서를 사용하여 사용자를 인증할 수 있습니다. 이러한 사용자가 성공적으로 인증되면 MongoDB는 LDAP 서버에 대해 쿼리를 수행하여 LDAP 사용자가 소유한 모든 그룹을 검색하고 해당 그룹을 동등한 MongoDB 역할로 변환합니다.
LDAP 권한 부여를 활성화하지 않으려면 이 단계를 건너뛰세요.
다음 필드에 값을 입력합니다.
설정값LDAP Authorization
LDAP 권한 부여를 활성화하려면 ON 으)로 토글합니다.
Authorization Query Template
LDAP 사용자에 대한 LDAP 그룹 목록을 조회하려면 LDAP 쿼리 URL 템플릿을 지정하세요.
에이전트에 대해 를 구성합니다.Kerberos (GSSAPI)
MongoDB deployment에 인증 메커니즘을 두 개 이상 활성화할 수 있지만 Ops Manager 에이전트는 인증 메커니즘을 하나만 사용할 수 있습니다. MongoDB deployment에 연결하려면 Kerberos (GSSAPI) 을 선택합니다.
Agent Auth Mechanism 섹션에서 Kerberos (GSSAPI) 옵션을 선택합니다.
MongoDB Agent에 대한 자격 증명을 제공합니다.
Linux를 사용하는 경우 다음을 구성합니다.
설정값MongoDB Agent Kerberos Principal
Kerberos 주체입니다.
MongoDB Agent Keytab Path
상담원 키탭의 경로입니다.
Windows를 사용하는 경우 다음을 구성합니다.
설정값MongoDB Agent Username
Active Directory 사용자 이름입니다.
MongoDB Agent Password
Active Directory 비밀번호입니다.
Domain
Active Directory 도메인 서비스에 있는 도메인의 NetBIOS 이름입니다. 모두 대문자로 작성해야 합니다.
LDAP 그룹에 대한 MongoDB 역할을 생성합니다. (선택 사항)
LDAP 권한 부여를 활성화한 후에는 LDAP 권한 부여에 지정한 각 LDAP 그룹에 대해 사용자 지정 MongoDB 역할을 생성 해야 합니다.