`mongokerberos`

이 페이지의 내용

Synopsis
설치
사용법
옵션

Synopsis

MongoDB Enterprise 는 mongokerberos MongoDB Kerberos 실행 Kerberos 배포서버 에 대해 의 및 GSSAPI 구성 옵션 을 테스트하기 위해 를 제공합니다. mongokerberos 은(는) 서버 및 클라이언트 모드 중 하나로 사용할 수 있습니다.

모드	설명
서버	서버 모드 에서 는 서버 의 Kerberos 관련 구성을 분석하고 문제가 있는 모든 구성에 대한 오류 메시지가 포함된 보고서를`mongokerberos` 반환합니다. 사용법은 서버 모드를 참조하세요.
고객	클라이언트 모드 에서 는`mongokerberos` 제공된 사용자 이름 에 대해 Kerberos 인증 테스트하고 Kerberos 인증 절차의 각 단계의 성공 또는 실패가 포함된 보고서를 반환합니다. 사용법은 클라이언트 모드를 참조하세요.

두 모드에 대한 오류 메시지에는 발생한 특정 오류에 대한 정보와 오류 해결을 위한 잠재적인 조언이 포함됩니다.

mongokerberos 서버 모드와 클라이언트 모드 모두에서 다음 배포 유형을 지원합니다.

지원되는 Linux 플랫폼에서 MIT Kerberos 배포에 인증하는 Linux MongoDB 클라이언트.
지원되는 Windows 플랫폼에서 Windows Active Directory 배포서버에 인증하는 Windows MongoDB 클라이언트.
Windows Active Directory 배포에 인증하는 Linux MongoDB 클라이언트.

참고

MongoDB Enterprise 및 는 mongokerberos MIT 구현 만 지원 Kerberos 합니다. 의 .

일반적으로 Kerberos 인증 과 관련된 옵션을 구성할 때는 mongokerberos 를 사용하여 구성을 확인하는 것이 좋습니다.

mongokerberos 은(는) 테스트 및 검증 도구입니다. 파일을 편집하거나 서비스를 구성하지 않습니다. 플랫폼에서 Kerberos를 구성하려면 MIT Kerberos 설명서 를 참조하세요. 또는 해당 플랫폼의 설명서를 참조하세요. Kerberos를 사용하여 인증하도록 MongoDB를 구성하려면 다음 튜토리얼을 참조하세요.

이 문서에서는 mongokerberos 에 대한 모든 명령줄 옵션에 대한 전체 개요를 제공합니다.

설치

mongokerberos 도구는 MongoDB database 도구 추가 패키지의 일부이며, MongoDB Server와 함께 또는 독립형 설치로 설치할 수 있습니다.

MongoDB 서버로 설치

MongoDB Server 설치의 일부로 을(를) 설치하려면 mongokerberos MongoDB Enterprise 다음을 수행합니다.

플랫폼에 맞는 지침을 따르세요: MongoDB Enterprise MongoDB Server 설치
설치가 완료되면 mongokerberos 및 기타 포함된 도구를 MongoDB Server와 동일한 위치에서 사용할 수 있습니다.
참고
Windows .msi 설치 프로그램 마법사의 경우 Complete 설치 옵션에는 mongokerberos 가 포함됩니다.

독립형으로 설치

mongokerberos 를 독립형 설치로 설치하려면 다음을 수행합니다.

MongoDB Enterprise 다운로드 링크를 따라가세요: MongoDB Enterprise 다운로드 센터
드롭다운 메뉴에서 Platform (운영 체제)를 선택한 다음, 다음 차트에 따라 플랫폼에 적합한 Package 를 선택합니다.
OS
패키지
Linux
tgz 패키지
Windows
zip 패키지
macOS
tgz 패키지
다운로드가 완료되면 아카이브의 압축을 풀고 mongokerberos 를 하드 드라이브의 위치에 복사합니다.
팁
Linux 및 macOS 사용자는 mongokerberos 를 $PATH 환경 변수에 정의된 파일 시스템 위치(예: /usr/bin)에 복사할 수 있습니다. 이렇게 하면 전체 경로를 지정하거나 먼저 상위 디렉토리로 이동하지 않고도 명령줄에서 mongokerberos 를 이름으로 직접 참조할 수 있습니다. 자세한 내용은 해당 플랫폼의 설치 가이드 를 참조하세요.

OS	패키지
Linux	`tgz` 패키지
Windows	`zip` 패키지
macOS	`tgz` 패키지

사용법

mongokerberos 는 서버 및 클라이언트 의 두 가지 모드로 실행할 수 있습니다.

mongosh가 아닌 시스템 명령줄에서 mongokerberos 를 실행 .

서버 모드

서버 모드 에서 mongokerberos 를 실행하면 적절한 DNS 확인 확인, Kerberos 시스템 키탭 파일 유효성 검사 , mongod 또는 mongos 에 대한 MongoDB 서비스 주체에 대한 테스트 등 시스템의 Kerberos 구성에 대해 일련의 확인 단계가 수행됩니다. 인스턴스.

서버 모드에서 mongokerberos 를 사용하려면 먼저 다음을 수행해야 합니다.

플랫폼의 설명서에 따라 플랫폼에서 Kerberos 를 구성합니다.
다음 단계에 설명된 대로 mongod 또는 mongos 인스턴스 와 함께 사용할 MongoDB 서비스 주체를 만듭니다.
- Linux에서 서비스 주체 구성
- Windows에서 서비스 주체 구성

이 단계를 완료하면 다음과 같이 --server 플래그를 사용하여 서버 모드 에서 mongokerberos 를 실행 수 있습니다.

mongokerberos --server

서버 에 Kerberos 가 올바르게 구성되고 서비스 주체가 성공적으로 생성된 경우 출력은 다음과 유사할 수 있습니다.

Resolving kerberos environment...
[OK] Kerberos environment resolved without errors.
Verifying DNS resolution works with Kerberos service at <hostname>...
[OK] DNS test successful.
Getting MIT Kerberos KRB5 environment variables...
  * KRB5CCNAME: not set.
  * KRB5_CLIENT_KTNAME: not set.
  * KRB5_CONFIG: not set.
  * KRB5_KTNAME: not set.
  * KRB5_TRACE: not set.
[OK]
Verifying existence of KRB5 keytab FILE:/etc/krb5.keytab...
[OK] KRB5 keytab exists and is populated.
Checking principal(s) in KRB5 keytab...
Found the following principals for MongoDB service mongodb:
  * mongodb/server.example.com@SERVER.EXAMPLE.COM
Found the following kvnos in keytab entries for service mongodb:
  * 3
[OK] KRB5 keytab is valid.
Fetching KRB5 Config...
KRB5 config profile resolved as:
   <Your Kerberos profile file will be output here>
[OK] KRB5 config profile resolved without errors.
Attempting to initiate security context with service credentials...
[OK] Security context initiated successfully.

마지막 메시지는 시스템의 Kerberos 구성을 MongoDB 에서 사용할 준비가 되었음을 나타냅니다. 구성에 오류가 발생하면 위 출력의 일부로 표시됩니다.

클라이언트 모드

클라이언트 모드에서 mongokerberos 를 실행하면 시스템의 Kerberos 환경에 대한 인증을 테스트하고, 적절한 DNS 확인 확인, Kerberos 클라이언트 키탭 파일 확인, 티켓이 성공적으로 부여될 수 있는지 테스트 등 Kerberos 인증 프로세스의 각 단계를 수행할 수 있습니다. 클라이언트 모드에서 mongokerberos 를 실행하면 mongosh 의 클라이언트 인증 절차를 시뮬레이션합니다.

클라이언트 모드 에서 mongokerberos 사용하려면 먼저 플랫폼의 설명서에 따라 플랫폼에 Kerberos 를 구성해야 합니다. 선택 사항으로,mongokerberos 클라이언트 모드 를 사용하기 전에 먼저 서버 모드 에서 를 실행 하여 플랫폼의 Kerberos 구성이 유효한지 확인할 수도 있습니다.

이 단계를 완료한 후에는 다음과 같이 --client 플래그를 사용하여 클라이언트 모드 에서 mongokerberos 를 실행 하여 사용자 인증 을 테스트할 수 있습니다.

mongokerberos --client --username <username>

인증 절차의 일부로 Kerberos 티켓을 요청하는 데 사용되는 유효한 사용자 이름을 제공해야 합니다. 플랫폼의 Kerberos 인프라는 이 사용자를 알고 있어야 합니다.

제공된 자격 증명 이 유효하고 구성 파일의 Kerberos 옵션이 유효한 경우 출력은 다음과 유사할 수 있습니다.

 Resolving kerberos environment...
 [OK] Kerberos environment resolved without errors.
 Verifying DNS resolution works with Kerberos service at <hostname>...
 [OK] DNS test successful.
 Getting MIT Kerberos KRB5 environment variables...
   * KRB5CCNAME: not set.
   * KRB5_CLIENT_KTNAME: not set.
   * KRB5_CONFIG: not set.
   * KRB5_KTNAME: not set.
   * KRB5_TRACE: not set.
 [OK]
 Verifying existence of KRB5 client keytab FILE:/path/to/client.keytab...
 [OK] KRB5 client keytab exists and is populated.
 Checking principal(s) in KRB5 keytab...
 [OK] KRB5 keytab is valid.
 Fetching KRB5 Config...
 KRB5 config profile resolved as:
    <Your Kerberos profile file will be output here>
 [OK] KRB5 config profile resolved without errors.
 Attempting client half of GSSAPI conversation...
 [OK] Client half of GSSAPI conversation completed successfully.

최종 메시지는 제공된 사용자에 대해 클라이언트 인증이 성공적으로 완료되었음을 나타냅니다. 인증 단계 중에 오류가 발생하면 위 출력의 일부로 오류가 표시됩니다.

옵션

--server

서버 모드 에서 mongokerberos 를 실행하여 플랫폼의 Kerberos 구성이 MongoDB 와 함께 사용하기에 유효한지 테스트합니다.

사용 예시 및 예상 출력은 서버 모드 를 참조하세요.

--client

클라이언트 모드 에서 mongokerberos 를 실행하여 시스템의 Kerberos 환경에 대해 클라이언트 인증 을 테스트합니다. 클라이언트 모드 에서 실행 때 --username 를 사용하여 유효한 사용자 이름 을 지정해야 합니다. mongokerberos 는 유효성 검사 절차의 일환으로 이 사용자 이름 에 대한 Kerberos 티켓 을 요청 합니다. 클라이언트 모드 에서 mongokerberos 를 실행하면mongosh의 클라이언트 인증 절차를 시뮬레이션합니다

사용 예시 및 예상 출력은 클라이언트 모드 를 참조하세요.

--config <filename>, -f <filename>

런타임 구성 옵션에 대한 구성 파일 을 지정합니다. 옵션은 명령줄 구성 옵션과 동일합니다. 자세한 내용은 자체 관리형 구성 파일 옵션 을 참조하세요.

mongokerberos 는 이 파일에서 saslHostName 및 saslServiceName 에 대한 값을 읽습니다(있는 경우). 이러한 값은 대신 --setParameter 옵션을 사용하여 대신 지정할 수 있습니다.

구성 파일이 ASCII 인코딩을 사용하는지 확인합니다. mongokerberos 인스턴스는 UTF-8 를 포함하여 ASCII가 아닌 인코딩을 사용하는 구성 파일을 지원하지 않습니다.

서버 모드에서만 유효합니다.

--setParameter <options>

구성 가능한 매개변수를 설정합니다. 여러 setParameter 필드를 지정할 수 있습니다.

지원되는 모든 매개 변수를 setParameter 과 함께 사용할 수 있지만 mongokerberos 는 다음 값만 확인합니다.

이러한 값도 포함하는 구성 파일 에 --config 옵션을 사용하는 경우 setParameter 값이 구성 파일 의 값을 재정의합니다.

서버 모드 와 클라이언트 모드 모두에서 유효합니다.

--host <hostname>

인증을 테스트할 때 연결할 MongoDB 서버의 호스트 이름을 지정합니다.

--host 을(를) 지정하지 않으면 mongokerberos 은(는) 호스트 이름의 DNS 유효성 검사 를 수행하지 않습니다(즉, PTR 기록 확인)

클라이언트 모드에서만 유효합니다.

--username <username>, -u <username>

Kerberos 인증을 시도할 때 사용할 mongokerberos 의 사용자 이름입니다. 이 값은 클라이언트 모드에서 실행할 때 필요합니다.

클라이언트 모드에서만 유효합니다.

--gssapiServiceName <servicename>

기본값: 'MongoDB '

GSSAPI/Kerberos를 사용하여 인증할 때 사용할 서비스 주체 이름입니다.

클라이언트 모드에서만 유효합니다.

--gssapiHostName <hostname>

GSSAPI/ Kerberos 인증 에 사용할 원격 호스트 이름입니다.

클라이언트 모드에서만 유효합니다.

돌아가기

mongos.exe

mongoldap

mongokerberos

Synopsis

참고

설치

MongoDB 서버로 설치

참고

독립형으로 설치

팁

사용법

서버 모드

클라이언트 모드

옵션

`mongokerberos`