Configurar o MongoDB Agent para Autenticação X.509
Nesta página
- A autenticação OAuth 2.0 para acesso programático ao Cloud Manager está disponível como um recurso de visualização.
- O recurso e a documentação correspondente podem mudar a qualquer momento durante o período de Pré-visualização. Para usar a 2.0 autenticação OAuth, crie uma conta de serviço para usar em suas solicitações para a API pública do Cloud Manager .
O Cloud Manager permite configurar os mecanismos de autenticação que todos os clientes, incluindo os agentes do Cloud Manager, usam para se conectar aos MongoDB deployments. Você pode habilitar vários mecanismos de autenticação para cada projeto, mas deve escolher apenas um mecanismo para os agentes.
O MongoDB suporta certificado X.509 autenticação para uso com uma conexão TLS segura. X.509 A autenticação do cliente permite que os clientes se autentiquem em servidores com certificados, em vez de com um nome de usuário e senha.
Observação
Com a automação, o Cloud Manager managed a autenticação do MongoDB Agent para você. Para saber mais sobre autenticação, consulte Habilitar autenticação x.509 para seu projeto do Cloud Manager.
Considerações
Uma descrição completa da Transport Layer Security, infraestrutura de chave pública, X.509 certificados e Autoridades de certificação excede o escopo deste tutorial. Este tutorial pressupõe o conhecimento prévio do TLS e o acesso a certificados X.509 válidos.
Pré-requisitos
Para habilitar a autenticação X.509 para o Cloud Manager, você deve obter certificados TLS válidos que uma única autoridade de certificação (CA) tenha gerado e assinado. Para saber mais sobre os requisitos de certificado, consulte Cliente x. Certificado 509 no Manual do MongoDB.
A autenticação do certificado de cliente X.509 exige que você habilite e configure o TLS para o sistema.
Procedimentos
Este tutorial pressupõe que você já configurou sua implantação MongoDB para utilizar autenticação de certificado X.509 e TLS. Se ainda não tiver feito isso, consulte os tutoriais Usar X.509 Certificados para Autenticar Clientes e Configurar mongod e mongos para TLS .
Criar usuário MongoDB a partir do X.509 subject
Quando a automação é ativada, o Cloud Manager managed a autenticação do MongoDB Agent.
Para configurar o X.509 para a autenticação do MongoDB Agent, consulte Habilitar autenticação de certificado de cliente x.509 para seu projeto do Cloud Manager.
Para que o MongoDB Agent se conecte à sua MongoDB deployment, você deve criar um usuário MongoDB em seu sistema que corresponda ao valor subject
do seu certificado de cliente .
O local onde você cria o usuário MongoDB depende se você está usando ou não a autorização LDAP .
Observação
Começar com MongoDB 8.0, A autenticação e autorização LDAP estão obsoletas. O recurso está disponível e continuará a operar sem alterações durante toda a vida útil do MongoDB 8. O LDAP será removido em uma versão principal futura.
Para obter detalhes, consulte Descontinuação do LDAP.
Se você estiver usando a autorização LDAP em sua implementação do MongoDB , deverá criar um usuário LDAP e um grupo LDAP para o MongoDB Agent no servidor LDAP . Após criar o usuário e o grupo LDAP , mapeie o grupo LDAP para uma função do MongoDB no banco de banco de dados admin
do seu sistema.
Aviso
Ao utilizar a Autorização LDAP , não crie quaisquer utilizadores MongoDB no banco de banco de dados do $external
. O MongoDB 3.4 e posterior não iniciará se houver um usuário MongoDB no banco de banco de dados $external
e a autorização LDAP estiver habilitada.
Para o usuário MongoDB que representa o MongoDB Agent:
Crie um novo usuário LDAP no seu servidor LDAP chamado que usa o valor
subject
do seu certificado de cliente como nome de usuário.Crie um grupo LDAP cujo nome corresponda à função do MongoDB Agent.
Crie a função do MongoDB Agent em seu banco de banco de dados
admin
com as permissões apropriadas.Observação
Quando a automação é ativada, a automação cria automaticamente uma função para o usuário do MongoDB Agent para autenticação LDAP .
Atribua o usuário LDAP ao grupo LDAP .
Dica
Veja também:
Para saber como: | Veja |
---|---|
Criar um usuário LDAP | Documentação para sua implementação de LDAP . |
Criar um grupo LDAP | Documentação para sua implementação de LDAP . |
Atribua as funções apropriadas para o MongoDB Agent | |
Mapear um grupo LDAP e um role do MongoDB | Seção Funções LDAP da página de autorização LDAP no manual do MongoDB . |
Configurar autorização LDAP sem automação do Cloud Manager | Página Autorização LDAP no manual MongoDB . |
Se você não estiver usando a autorização LDAP , deverá adicionar o valor subject
do certificado do cliente como o nome de usuário do MongoDB Agent no banco de banco de dados $external
da implantação do MongoDB . Sem autorização LDAP , o MongoDB usa o banco de banco de dados $external
para autenticar um usuário no X.509.
Observação
Para descobrir as funções apropriadas para o MongoDB Agent, consulte Acesso necessário para o MongoDB Agent.
Use os seguintes comandos para criar os usuários a partir do mongosh
:
db.getSiblingDB("$external").createUser( { user : "<x.509 subject>", roles : [ { role : "clusterAdmin", db : "admin" }, { role : "readWriteAnyDatabase", db : "admin" }, { role : "userAdminAnyDatabase", db : "admin" }, { role : "dbAdminAnyDatabase", db : "admin" }, { role : "backup", db : "admin" }, { role : "restore", db : "admin" } ] } )
Para saber qual acesso é necessário, consulte Acesso necessário para o MongoDB Agent.
Cada usuário MongoDB deve ter seu próprio certificado X.509 .
Editar arquivo de configuração do MongoDB Agent
Para usar a autenticação X.509, você deve configurar o MongoDB Agent para TLS :
Especifique o caminho de arquivo absoluto para seu certificado CA confiável no arquivo de configuração do MongoDB Agent.
Se você habilitou o TLS para seu sistema do Cloud Manager, deverá configurar o MongoDB Agent para usar o TLS . Para configurar o MongoDB Agent para usar TLS , você deve ter o certificado de autoridade de certificação confiável que assinou o certificado da instância do MongoDB.
No diretório de instalação do MongoDB Agent , edite o arquivo de configuração para definir o campo httpsCAFile
como o caminho de um arquivo que contém um ou mais certificados no formato PEM .
A localização do arquivo de configuração do MongoDB Agent é C:\MMSData\Automation\automation-agent.config
.
Observação
O arquivo de configuração do MongoDB Agent é chamado automation-agent.config
como uma forma de facilitar as atualizações para aqueles que usam agentes legados.
A localização do arquivo de configuração do MongoDB Agent é /etc/mongodb-mms/automation-agent.config
.
Observação
O arquivo de configuração do MongoDB Agent é chamado automation-agent.config
como uma forma de facilitar as atualizações para aqueles que usam agentes legados.
A localização do arquivo de configuração do MongoDB Agent é /etc/mongodb-mms/automation-agent.config
.
Observação
O arquivo de configuração do MongoDB Agent é chamado automation-agent.config
como uma forma de facilitar as atualizações para aqueles que usam agentes legados.
A localização do arquivo de configuração do MongoDB Agent é /path/to/install/local.config
.
Exemplo
Use o seguinte comando para conectar por meio mongosh
:
mongosh --tls --tlsCAFile /etc/ssl/ca.pem example.net:27017
Em seguida, modifique o arquivo de configuração e defina o seguinte par chave/valor:
httpsCAFile=/etc/ssl/ca.pem
Salve o arquivo de configuração.
Para saber mais sobre essas configurações, consulte Cloud Manager TLS Settings.
Configurar o MongoDB Agent para usar TLS fornece mais detalhes sobre como configurar o MongoDB Agent para TLS.
Depois de configurar o MongoDB Agent, configure o mecanismo de autenticação X.509 na interface do Cloud Manager, conforme descrito em Habilitar autenticação x.509 para seu projeto do Cloud Manager.