Configurar Kerberos no BI Connector
Nesta página
Novidades na versão 2.5.
O MongoDB Connector para BI suporta a autenticação Kerberos para conectar ferramentas de BI e para o usuário administrador do BI Connector autenticar com MongoDB.
A seção a seguir orienta você na configuração do BI Connector para usar Kerberos com dois dos casos de uso mais comuns:
Máquinas de clientes Windows/Linux autenticadas no Active Directory
máquina do cliente macOS autenticando no Linux KDC
Se você tiver outro caso de uso, entre em contato como Suporte do MongoDB para obter ajuda.
Importante
A parte do domínio de qualquer nome de usuário deve ser escrita em letras maiúsculas. Essa parte do nome de usuário corresponde a um Realm Kerberos ou a um domínio do Active Directory. É sensível a maiúsculas e minúsculas.
Configuração do Active Directory
Certifique-se de ter um domínio configurado.
Criar um usuário para MongoDB no domínio que você criou.
Criar um usuário para MongoSQL no domínio que você criou.
Registre um SPN para o serviço MongoDB.
Registre um SPN para o Serviço MongoSQL.
Habilite a delegação para seu usuário do MongoSQL Service.
Exemplo
Supondo esta configuração:
Seu nome é
Grace Smith.Seu domínio do Windows é denominado
EXAMPLE.COM.Você está executando sua ferramenta de BI em um host Windows chamado
BI.EXAMPLE.COM.
No Active Directory, você cria três usuários:
Para MongoDB:
mongodb@EXAMPLE.COMPara connector BI:
mongosql@EXAMPLE.COMPara você:
grace.smith@EXAMPLE.COM
Crie um SPN para cada serviço:
setspn.exe -S mongodb/BI.EXAMPLE.COM mongodb setspn.exe -S mongosql/BI.EXAMPLE.COM mongosql
Observação
Os nomes podem ser qualquer coisa que você escolher, desde que você os use consistentemente ao longo desta configuração.
Abra o Centro Administrativo do Active Directory e clique duas vezes no usuário do serviço MongoDB (mongodb).
Defina o mongosql usuário como delegado para o mongodb usuário do BI.EXAMPLE.COM host .
Observação
Usuário do esquema Linux autenticando no ADC
Se você estiver autenticando um usuário a partir de um host Linux e o usuário do esquema estiver usando um arquivo keytab em vez de uma senha, será necessário o seguinte, além de criar o usuário no MongoDB:
Criando um UPN para o usuário do esquema.
Definindo o KRB5_CLIENT_KTNAME variável de ambiente para o keytab deste usuário.
Esse
KRB5_CLIENT_KTNAMEdeve incluir a chave para o usuário do esquema e o usuário do serviço do BI Connector.
Configuração do MongoDB
Defina as seguintes opções no arquivo de configuração:
net: bindIp: <fullHostnameOfBIConnector> setParameter: authenticationMechanisms: "GSSAPI" Para obter mais informações, consulte net.bindIp, setParameter e authenticationMechanisms.
Execute
mongodcomo o usuário MongoDB do Windows que você criou no Active Directory.Crie um usuário em seu banco de dados MongoDB com osroles apropriados do para obter amostras de dados.
Configuração do BI Connector
Instale o BI Connector como um serviço.
Inicie
mongosqldcomo o usuário MongoSQL do Windows que você criou no Active Directory.Adicione as seguintes configurações de autenticação do BI Connector ao seu arquivo de configuração do
mongosqld:security: enabled: true defaultMechanism: "GSSAPI" defaultSource: "$external" gssapi: hostname: <host running mongosqld> serviceName: <name of mongosqld service> Importante
Definindo restrições
security.gssapi.hostnamedeve corresponder ao valor emsecurity.gssapi.serviceName.Se você configurou o Active Directory para usar delegação restrita, adicione
security.gssapi.constrainedDelegation: trueao arquivo de configuraçãomongosqldou a autenticação falhará.
Para mais informações, veja:
Adicione as seguintes configurações que o BI Connector usará para se autenticar com o MongoDB:
mongodb: net: uri: "mongodb://<hostname and port of mongodb database>/" auth: username: <database username> password: <database password> source: "$external" mechanism: "GSSAPI" Para mais informações, veja:
Exemplo
Seu nome é
Grace Smith.Seu domínio do Windows é denominado
EXAMPLE.COM.Você está executando sua ferramenta de BI em um host Windows chamado
BI.EXAMPLE.COM.
Em BI.EXAMPLE.COM:
Instale o MongoDB e o MongoDB connector for BI como serviços.
Edite seu arquivo
mongod.cfgpara se parecer com:systemLog: destination: "file" path: "c:\\data\\log\\mongod.log" verbosity: 2 storage: dbPath: "c:\\data\\db" net: bindIp: BI.EXAMPLE.COM setParameter: authenticationMechanisms: "GSSAPI" Faça login no shell
mongoe crie seu usuário do BI Connector .db.getSiblingDB("$external").createUser( { user: "grace.smith@EXAMPLE.COM", roles: [ { role: "readAnyDatabase", db: "admin" } ] } ) Edite seu arquivo
mongosqld.cfgpara se parecer com:systemLog: path: "c:\\data\\log\\mongosqld.log" logAppend: true logRotate: "reopen" verbosity: 3 runtime: memory: maxPerStage: 102400 net: bindIp: BI.EXAMPLE.COM port: 3306 security: enabled: true defaultSource: "$external" defaultMechanism: "GSSAPI" gssapi: hostname: "BI.EXAMPLE.COM" serviceName: "mongosql" mongodb: net: uri: "mongodb://BI.EXAMPLE.COM/" auth: username: "grace.smith@EXAMPLE.COM" password: "abc123!" source: "$external" mechanism: "GSSAPI" processManagement: service: displayName: "MongoDB BI Connector" Abra Services.
Definir MongoDB como Log on as: This account:
mongodb@EXAMPLE.COMDefinir o conector MongoDB para BI como Log on as: This account:
mongosql@EXAMPLE.COMInicie o MongoDB e o connector MongoDB para serviços de BI.
Observação
Usuário do esquema Linux autenticando no ADC
Se você estiver autenticando um usuário a partir de um host Linux e o usuário do esquema for usar um nome de usuário e uma senha, o seguinte será necessário:
Definindo
mongodb.net.auth.usernamepara o UPN do usuário do esquema .Definindo
mongodb.net.auth.passwordpara sem valor.
Dica
Veja também:
Para saber como configurar o Active Directory para gerenciar sua instância do MongoDB, consulte Configurar o MongoDB com autenticação Kerberos e autorização do Active Directory.
Configuração do MongoDB
Certifique-se de que suas instâncias do
mongodemongosestejam executando o MongoDB Enterprise.Configure suas instâncias
mongodemongospara usar a autenticação Kerberos (GSSAPI).Verifique se você define as seguintes opções no arquivo de configuração do MongoDB:
net: bindIp: <fullHostnameOfBIConnector> setParameter: authenticationMechanisms: "GSSAPI" Criar um arquivo keytab no KDC que tem as entidades de serviço Kerberos necessárias para
mongosqlemongosql2.Exemplo
mongosql/<fullHostnameOfBIConnector>@<KERBEROS_REALM>
Configuração do BI Connector
Copie o arquivo
keytabque você criou para a implantação do MongoDB para o mesmo host que atende ao BI Connector.Se o seu keytab não usar o nome padrão (
krb5.keytab), você deverá definir o KRB5_KTNAME variável de ambiente.Observação
A implementação do Kerberos no macOS, Heimmal, não suporta a
default_keytab_namedefinição de configuração do , como o MIT Kerberos faz. Você deve definir a variável de ambienteKRB5_KTNAME.Se o seu arquivo de configuração Kerberos não usar o nome padrão (
krb5.conf), você deverá definir o KRB5_CONFIG variável de ambiente. (O Headal também suporta esta variável de ambiente.)Adicione as seguintes configurações de autenticação do BI Connector ao seu arquivo de configuração do
mongosqld:security: enabled: true defaultMechanism: "GSSAPI" defaultSource: "$external" gssapi: hostname: <host running mongosqld> serviceName: <name of mongosqld service> Observação
security.gssapi.hostnamedeve corresponder ao valor emsecurity.gssapi.serviceName.Para mais informações, veja:
Adicione as seguintes configurações que o BI Connector usará para se autenticar com o MongoDB:
mongodb: net: uri: "mongodb://<hostname and port of mongodb database>/" auth: username: <database username> password: <database password> source: "$external" mechanism: "GSSAPI" Para mais informações, veja:
Dica
Testando o BI Connector com Kerberos no localhost
Se você estiver testando o Kerberos com um mongosqld em execução em localhost, será necessário definir net.unixDomainSocket.enabled como true no arquivo de configuração mongosqld .