자체 관리 배포서버에 대한 LDAP 권한 부여

호환 가능한 인증 메커니즘

MongoDB는 다음과 같은 권한 부여 방법으로 LDAP 인증을 지원합니다:

• 자체 관리형 LDAP 프록시 인증

• 자체 관리 배포의 Kerberos 인증

• x.509

이 구성에서 MongoDB는 LDAP, X.509 또는 Kerberos 권한 부여를 사용하여 클라이언트 연결을 인증합니다.

연결 풀

인증/권한 부여를 위해 LDAP 서버에 연결할 때 MongoDB는 기본적으로 다음을 수행합니다.

• 실행하면 연결 풀링을 사용합니다:

  • 또는

  • 를 사용하여 MongoDB Enterprise 바이너리가 libldap_r에대해 링크되는 Linux에서.

• 실행하면 연결 풀링을 사용하지 않습니다:

  • MongoDB Enterprise 바이너리는 Linux에서 libldap에 대해 링크됩니다.

연결 풀링 동작을 변경하려면 ldapUseConnectionPool 매개변수를 업데이트하십시오.

libldap 개인정보 정책에 libldap_r

libldap (예: RHEL에서 실행되는 경우) 에 연결된 MongoDB 4.2 엔터프라이즈 바이너리의 경우 libldap 액세스가 동기화되므로 일부 성능/대기 시간 비용이 발생합니다.

0}에 연결된 MongoDB 4.2 Enterprise 바이너리의 libldap_r 경우 이전 MongoDB 버전과 동작이 변경되지 않습니다.

사용자 관리

LDAP 권한 부여를 사용하면 LDAP 서버에서 사용자 생성 및 관리가 이루어집니다. MongoDB를 사용하려면 admin 데이터베이스에 각 역할의 이름이 LDAP 그룹의 고유 이름(DN)과 정확히 일치하는 역할을 생성해야 합니다. 이는 $external 데이터베이스에 사용자를 생성해야 하는 MongoDB 관리형 권한 부여와 대조됩니다.

MongoDB 서버에서 역할을 관리하려면, 역할 관리 권한을 가진admin데이터베이스 역할과 연관된 그룹 멤버인 사용자로 인증해야 합니다. 이는 userAdmin과 같은 역할을 통해 제공됩니다. LDAP 그룹 DN에 해당하는 역할을 생성하거나 업데이트하여 해당 그룹의 구성원이 있는 사용자가 적절한 역할 및 권한을 받을 수 있도록 합니다.

예를 들어, 데이터베이스 관리자용 LDAP 그룹에는 어드민 역할 및 권한이 있는 역할이 있을 수 있습니다. 마케팅 또는 분석 사용자를 위한 LDAP 그룹에는 특정 데이터베이스에서 읽기 권한만 있는 역할이 있을 수 있습니다.

역할 관리 권한이 있는 역할이 존재하지 않고 이러한 권한이 없는$external 사용자가 존재하지 않으면 LDAP 서버에서 그룹 또는 그룹 멤버십의 추가 또는 변경을 반영하도록 새 역할이나 기존 역할을 변경할 수 없으므로 사실상 사용자 관리를 수행할 수 없습니다.

MongoDB 서버에서 역할을 관리할 수 없는 시나리오를 해결하려면 다음 절차를 수행하세요.

1. 권한 부여 및 LDAP 인증 없이 MongoDB 서버 다시 시작

2. 이름이 적절한 LDAP 그룹 고유 이름(Distinguished Name)에 해당하는 admin 데이터베이스에 역할을 만듭니다. 그룹 DN을 선택할 때 데이터베이스 관리에 가장 적합한지 고려하십시오.

3. 인증 및 LDAP 권한 부여를 통해 MongoDB Server를 다시 시작합니다.

4. 생성된 관리 역할에 해당하는 그룹 멤버로서 인증합니다.

기존 사용자

LDAP를 사용하여 권한을 부여하는 MongoDB 서버는 $external 데이터베이스의 기존 사용자에게 액세스할 수 없습니다. $external데이터베이스에 기존 사용자가 있는 경우 계속 액세스할 수 있도록 하려면 데이터베이스의 각 사용자에 대해 다음 요구 사항$external을 충족해야 합니다:

• 사용자가 LDAP 서버에 해당 사용자 객체를 가지고 있습니다.

• 사용자 객체는 적절한 LDAP 그룹의 멤버십을 가지고 있습니다

• MongoDB는 사용자의 LDAP 그룹을 나타내는 admin 데이터베이스에 역할을 가지고 있으며, 이를 통해 부여된 역할과 권한은$external 이 아닌 사용자에게 부여된 것과 동일합니다.

$external 데이터베이스에 없는 사용자가 액세스할 수 있도록 계속 허용하려면 authenticationMechanisms 매개 변수에 SCRAM-SHA-1 및/또는 SCRAM-SHA-256가 적절하게 포함되어 있는지 확인합니다. 또는 해당 사용자를 LDAP 권한 부여로 전환하기 위해 위에 나열된 요구 사항을 적용합니다.

복제본 세트

복제본 세트의 경우, 프라이머리를 구성하기 전에 먼저 세컨더리 및 중재자 멤버에 대한 LDAP 권한 부여를 구성합니다. 이는 샤드 복제본 세트 또는 config 서버 복제본 세트에도 적용됩니다. 한 번에 하나의 복제본 세트 멤버를 설정하여 대다수의 멤버가 쓰기 가용성을 유지하도록 합니다.

샤딩된 클러스터

샤딩된 클러스터는 클러스터 수준 사용자를 위해 config 서버 LDAP 권한을 구성해야 합니다. 필요한 경우 각 샤드에서 샤드 로컬 사용자를 위한 LDAP 권한을 구성할 수도 있습니다.

LDAP 쿼리 템플릿

MongoDB는 security.ldap.authz.queryTemplate(을)를 사용하여 RFC4516 형식의 LDAP 쿼리 URL을 생성합니다. 템플릿에서는 다음 중 하나를 사용할 수 있습니다.

• {USER} 플레이스홀더를 사용하여 인증된 사용자 이름을 LDAP 쿼리 URL로 대체할 수 있습니다. MongoDB가 userToDNMapping 을 사용하여 사용자 이름을 변환한 경우 MongoDB는 LDAP 쿼리 URL을 구성할 때 {USER} 토큰을 변환된 사용자 이름으로 바꿉니다.

• {PROVIDED_USER} 인증 또는 LDAP 변환 전에 제공된 사용자 이름은 LDAP 쿼리로 대체하는 자리 표시자입니다.

사용자 그룹을 조회하기 위한 쿼리 템플릿을 디자인하세요.

"{USER}?memberOf?base"

LDAP 쿼리 URL은 RFC4516에 정의된 형식을 준수해야 합니다.

[ dn  [ ? [attributes] [ ? [scope] [ ? [filter] [ ? [Extensions] ] ] ] ] ]

RFC4516에서 인용된 대로 각 구성 요소의 정의를 고려하세요.

dn은 RFC4514에 설명된 문자열 형식을 사용하는 LDAP 고유 이름입니다. 이는 LDAP 검색의 기본 객체 또는 비검색 작업의 대상을 식별합니다.

attributes 구성은 항목에서 반환해야 하는 특성을 나타내는 데 사용됩니다.

scope 구성은 지정된 LDAP 서버에서 수행할 검색 범위를 지정하는 데 사용됩니다. 허용되는 범위는 기본 객체 검색의 경우 'base', 단일 수준 검색의 경우 'one' 또는 하위 트리 검색의 경우 'sub'입니다.

filter는 검색 중에 지정된 범위 내의 항목에 적용할 검색 필터를 지정하는 데 사용됩니다. 이 형식은 [RFC4515]에 지정되어 있습니다.

extensions 구문은 LDAP URL에 확장성 메커니즘을 제공하여 URL의 기능을 향후 확장할 수 있도록 합니다.

쿼리에 attribute이 포함된 경우 MongoDB는 쿼리가 이 엔터티가 속한 DN을 검색한다고 가정합니다.

쿼리에 속성이 포함되어 있지 않으면 MongoDB는 쿼리가 사용자가 속한 모든 엔터티를 검색한다고 가정합니다.

MongoDB는 현재 LDAP 쿼리에 지정된 모든 확장자를 무시합니다.