Kerberos용 MongoDB Agent 구성
MongoDB Enterprise 는 Kerberos를 지원합니다. Kerberos 네트워크 인증 프로토콜입니다. MongoDB Agent는 Kerberos를 실행하는 MongoDB 인스턴스에 인증할 수 있습니다.
전제 조건
최소 수명이 4시간인 티켓을 발행하도록 KDC 구성
Kerberos 티켓은 제한된 시간 동안 사용자를 인증할 수 있습니다. Kerberos 키 배포 센터(KDC)를 구성 해야 합니다. 4시간 이상 유효한 티켓을 발행합니다. MongoDB Agent는 주기적으로 티켓을 갱신합니다. KDC 서비스는 사용자와 호스트에게 세션 티켓과 임시 세션 키를 제공합니다.
배포를 위한 인증 메커니즘으로 Kerberos 추가
MongoDB Agent는 MongoDB 사용자처럼 배포서버의 MongoDB 데이터베이스와 상호 작용합니다. 따라서 인증을 지원하도록 MongoDB deployment 및 MongoDB Agent를 구성해야 합니다.
에서 배포를추가 할 때 배포의 인증 메커니즘을 지정하거나 기존 배포 의 설정을 편집 할 수 있습니다. 최소한 배포에서는 MongoDB Agent가 사용하려는 인증 메커니즘을 활성화해야 합니다. MongoDB Agent는 지원되는 모든 인증 메커니즘을 사용할 수 있습니다.
이 튜토리얼을 진행하려면 다음 사항을 확인해야 합니다.
배포에서 Kerberos 인증을 지원하며
MongoDB Agent는 Kerberos 인증을 사용합니다.
Kerberos 인증을 활성화하는 방법을 알아보려면 Ops Manager 프로젝트에 Kerberos 인증 활성화를 참조하세요.
Kerberos를 사용하도록 MongoDB Agent 호스트 구성
모니터링 또는 백업을 실행하는 모든 호스트에 두 개의 Kerberos 관련 파일을 설치해야 합니다.
krb5.conf 를 만들거나 구성합니다. Kerberos 구성 파일.
플랫폼기본 경로참고 사항리눅스/etc/krb5.confWindows%WINDIR%\krb5.ini이 경로는 Active Directory 기반이 아닌 Kerberos 구현을 위한 기본 경로입니다. Kerberos 구성 파일이 저장되는 위치를 확인하려면 사용 중인 Windows 버전에 대한 Kerberos 구현에 대한 설명서를 참조하세요.Linux 시스템:kinit 확인 바이너리는 에
/usr/bin/kinit있습니다.kinit는 Kerberos를 사용하여 에이전트를 인증하는 Kerberos 티켓 부여 티켓을 얻거나 갱신합니다.
절차
MongoDB Agent에 대한 Kerberos 사용자 주체 생성
MongoDB Agent에 대한 KerberosUPN (사용자 계정 이름)을 생성하거나 선택합니다.
UPN 은 두 부분으로 형식이 지정되므로 Kerberos 영역에서 서비스를 고유하게 식별할 수 있습니다.
구성 요소 | 설명 |
|---|---|
서비스 이름 | 호스트가 Kerberos 영역에 제공하는 서비스 한 개의 이름(예: 중요Ops Manager 6.0.0 는 SNMP 경고를 더 이상 사용하지 않습니다. Ops Manager 7.0.0 에는 SNMP 경고가 포함되지 않습니다. 다른 경고 옵션에 대해 자세히 알아보려면 타사 서비스 통합을 참조하세요. |
Kerberos 영역 | 동일한 Kerberos 데이터베이스를 공유하는 managed 호스트 및 서비스의 집합입니다. 참고Kerberos 명명 규칙에 따라 |
예제
EXAMPLE.COM 으로 설정된 Kerberos 영역에서 MongoDB 에이전트는 UPN 을 다음과 같이 설정합니다: mongodb-agent@EXAMPLE.COM
MongoDB Agent의 Kerberos keytab UPN 에 대한 파일을 생성합니다.
키탭 *.keytab생성 MongoDB Agent UPN 에 대한 파일( )을 만들어 MongoDB Agent를 실행하는 호스트에 복사합니다. MongoDB Agent를 실행하는 운영 체제 사용자가 keytab 파일을 소유한 운영 체제 사용자와 동일한지 확인합니다.
MongoDB Agent UPN에 대한 사용자 생성 및 역할 할당
자동화가 활성화되면 Ops Manager가 MongoDB Agent 인증을 managed합니다.
MongoDB Agent 인증을 위한 Kerberos를 구성하려면 Ops Manager 프로젝트에 Kerberos 인증 활성화를 참조하세요.
MongoDB Agent에 대한 Kerberos UPN 을 생성한 후, 배포서버에서 MongoDB Agent의 UPN 에 해당하는 MongoDB 사용자를 생성하고 권한을 부여합니다.
MongoDB 사용자를 생성하는 위치는 LDAP 권한 부여 사용 여부에 따라 달라집니다.
MongoDB 배포에서 LDAP 권한 부여를 사용하는 경우, LDAP 서버에서 MongoDB Agent에 대한 LDAP 사용자 및 LDAP 그룹을 생성해야 합니다. LDAP 사용자 및 그룹을 만든 후 LDAP 그룹을 배포서버의 admin 데이터베이스에 있는 MongoDB 역할에 매핑합니다.
경고
LDAP 권한 부여를 사용하는 경우 $external 데이터베이스에 MongoDB 사용자를 생성 하지 마세요. MongoDB 3. MongoDB 사용자가 $external 데이터베이스에 존재하고 LDAP 권한 부여가 활성화된 경우 4 이상이 시작되지 않습니다.
MongoDB Agent를 나타내는 MongoDB 사용자의 경우:
MongoDB Agent의 UPN 으로 명명된 LDAP 서버에 새 LDAP 사용자를 생성합니다.
이름이 MongoDB Agent의 역할과 일치하는 LDAP 그룹을 생성합니다.
적절한 권한을 사용하여
admin데이터베이스에 MongoDB Agent의 역할을 생성합니다.참고
자동화가 활성화되면 자동화는 LDAP 인증을 위해 MongoDB Agent 사용자에 대한 역할을 자동으로 생성합니다.
LDAP 사용자를 LDAP 그룹에 할당합니다.
팁
다음도 참조하세요.
방법을 알아보세요: | ~를 참조하세요. |
|---|---|
LDAP 사용자 만들기 | LDAP 구현에 대한 문서입니다. |
LDAP 그룹 만들기 | LDAP 구현에 대한 문서입니다. |
MongoDB Agent에 적절한 역할 할당 | |
LDAP 그룹 및 MongoDB 역할 매핑 | MongoDB 매뉴얼의 LDAP 권한 부여 페이지에 있는LDAP 역할 섹션 . |
Ops Manager 자동화 없이 LDAP 권한 부여 구성 | MongoDB 매뉴얼의 LDAP 권한 부여 페이지. |
LDAP 권한 부여를 사용하지 않는 경우, MongoDB deployment의 $external 데이터베이스에 MongoDB Agent의 UPN 을 사용자로 추가해야 합니다. LDAP 권한 부여가 없으면 MongoDB는 $external 데이터베이스를 사용하여 Kerberos에 대해 사용자를 인증합니다.
참고
MongoDB Agent에 적합한 역할을 찾으려면 MongoDB Agent에 필요한 액세스 권한을 참조하세요.
mongosh 에서 다음 명령을 실행하여 MongoDB 사용자를 생성합니다.
db.getSiblingDB("$external").createUser( { user : "<Kerberos Principal>", roles : [ { role : "clusterAdmin", db : "admin" }, { role : "readWriteAnyDatabase", db : "admin" }, { role : "userAdminAnyDatabase", db : "admin" }, { role : "dbAdminAnyDatabase", db : "admin" }, { role : "backup", db : "admin" }, { role : "restore", db : "admin" } ] } )