Menu Docs
Página inicial do Docs
/
MongoDB Cloud Manager
/ /

Habilitar autenticação Kerberos para seu projeto do Cloud Manager

Nesta página

  • Visão geral
  • Considerações
  • Procedimentos

O Cloud Manager permite configurar os mecanismos de autenticação que todos os clientes, incluindo os agentes do Cloud Manager, usam para se conectar aos MongoDB deployments. Você pode habilitar vários mecanismos de autenticação para cada projeto, mas deve escolher apenas um mecanismo para os agentes.

MongoDB Enterprise oferece suporte à autenticação usando um serviço Kerberos. O Kerberos é um protocolo de autenticação padrão do setor para grandes sistemas de cliente/servidor.

Importante

A instalação e a configuração de um sistema do Kerberos estão além do escopo deste documento. Este tutorial pressupõe que você tenha configurado um principal Kerberos para cada agente e tenha um arquivo keytab válido para cada agente.

Para autenticar o MongoDB com Kerberos, você deve:

  1. Tenha um sistema Kerberos configurado corretamente,

  2. Configurar entidades de serviço Kerberos para MongoDB e

  3. Adicione as entidades de usuário Kerberos para os agentes.

A seção Autenticação Kerberos do Manual do MongoDB fornece mais detalhes sobre o uso do MongoDB com Kerberos.

Kerberos (GSSAPI) está disponível apenas em compilações MongoDB Enterprise. Se você tiver implantações existentes em execução em uma compilação do MongoDB Community, será necessário atualizá-las para o MongoDB Enterprise antes de habilitar o Kerberos (GSSAPI) para seu projeto do Cloud Manager.

Este tutorial descreve como habilitar o Kerberos para um de seus projeto do Cloud Manager e como configurar seus agente do Cloud Manager para se conectarem à sua implantação habilitada para Kerberos.

Observação

Se você deseja redefinir as configurações de autenticação e TLS para seu projeto, primeiro deixe de gerenciar qualquer MongoDB deployment que o Cloud Manager gerencia em seu projeto.

Esses procedimentos descrevem como configurar e habilitar a autenticação Kerberos ao usar a Automação. Se o Cloud Manager não managed seu Monitoramento ou Backups, você deverá configurá-los manualmente para autenticar usando Kerberos.

Consulte Configurar o MongoDB Agent para Kerberos para obter instruções.

Se você usa o Cloud Manager para managed implantações existentes no Linux em seu projeto, todas as implantações do MongoDB no projeto devem ser configuradas para a autenticação Kerberos antes que você possa habilitar a autenticação Kerberos para seu projeto.

1
  1. Se ainda não estiver exibido, selecione a organização que contém o projeto desejado no menu Organizations na barra de navegação.

  2. Se ainda não estiver exibido, selecione o projeto desejado no menu Projects na barra de navegação.

  3. Se a página Deployment ainda não estiver exibida, clique em Deployment na barra lateral.

    A página Sistema é exibida.

2

Clique na aba Processes para sua implantação.

A página Processos é exibida.

3
4
5
6

Se o kerberosKeytab ainda não estiver configurado:

  1. Clique em Add Option.

  2. Expanda a lista Select a Startup Option .

  3. Pesquisar e selecione a opção kerberosKeytab e clique em Add.

  4. Na coluna kerberosKeytab , forneça o caminho absoluto para o arquivo keytab.

  5. Clique em Save.

Após configurar as opções do Kerberos para cada sistema, você poderá habilitar o Kerberos para seu projeto do Cloud Manager.

1
  1. Se ainda não estiver exibido, selecione a organização que contém o projeto desejado no menu Organizations na barra de navegação.

  2. Se ainda não estiver exibido, selecione o projeto desejado no menu Projects na barra de navegação.

  3. Se a página Deployment ainda não estiver exibida, clique em Deployment na barra lateral.

    A página Sistema é exibida.

2

Clique na aba Security para sua implantação.

A página Segurança é exibida.

3

Realize uma das seguintes ações:

  • Se esta for a primeira vez que você define as configurações de TLS, autenticação ou autorização para esse projeto, clique em Get Started.

  • Se você já configurou a autenticação do TLS ou as configurações de autorização deste projeto, clique em Edit.

4
Campo
em ação

MongoDB Deployment Transport Layer Security (TLS)

Alterne este controle deslizante para ON.

Caminho do arquivo TLS CA

O arquivo da autoridade de certificação TLS é um arquivo de certificado no formato .pem que contém a cadeia de certificados raiz da autoridade de certificação. O MongoDB Agent usa esse mesmo arquivo de autoridade de certificação para se conectar a cada item em seu sistema.

A chave privada criptografada para o .pem arquivo de certificado deve estar em PKCS #1 formato. O MongoDB Agent não é compatível com o PKCS #8 formato.

Digite o caminho do arquivo da autoridade de certificação TLS em cada host que estiver executando um processo do MongoDB:

  • Digite o caminho do arquivo em todos os hosts Linux na primeira caixa.

  • Digite o caminho do arquivo em todos os hosts do Windows na segunda caixa.

Isto habilita a configuração do net.tls.CAFile para os processos do MongoDB no projeto.

Clique em Validate para testar se cada host no seu sistema tem uma Autoridade de Certificado TLS nos caminhos especificados.

Modo de certificado de cliente

Selecione se os aplicativos do cliente ou os MongoDB Agents devem apresentar um certificado TLS ao se conectar a um sistema MongoDB habilitado para TLS. Cada sistema do MongoDB verifica se há certificados desses hosts clientes quando eles tentam se conectar. Se você optar por exigir os certificados TLS do cliente, verifique se eles são válidos.

Os valores aceitos são:

Opcional

Cada cliente pode apresentar um certificado TLS válido ao conectar a MongoDB deployments. Os MongoDB Agents podem usar certificados TLS se você não definir mongod tlsMode como None.

Obrigatório

Todo sistema do MongoDB neste projeto começa com conexões de rede criptografadas por TLS. Todos os agentes devem usar o TLS para se conectar a qualquer sistema do MongoDB.

5
6

Importante

Iniciando com MongoDB 3.4, você pode autenticar usuários utilizando certificados LDAP, Kerberos e X.509 sem exigir documento de usuário local no reconhecimento de data center do $external , desde que você habilite primeiro a autorização LDAP. Quando esse usuário se autentica com êxito, o MongoDB executa uma query no servidor LDAP para recuperar todos os grupos que esse usuário LDAP possui e transforma esses grupos em suas funções equivalentes no MongoDB.

Pule esta etapa se não quiser habilitar a autorização LDAP.

  1. Insira valores para os seguintes campos:

    Contexto
    Valor

    LDAP Authorization

    Alterne para ON para habilitar a autorização LDAP.

    Authorization Query Template

    Especifique um modelo para um URL de query LDAP para recuperar uma lista de grupos LDAP para um usuário LDAP.

7

Você pode habilitar mais de um mecanismo de autenticação para a implantação do MongoDB , mas os Agentes do Cloud Manager só podem usar um mecanismo de autenticação. Selecione {{mecanismo}} para se conectar à sua implantação do MongoDB .

  1. Selecione a opção {{mecanismo}} na seção Agent Auth Mechanism .

  2. Forneça credenciais para o MongoDB Agent:

    Se estiver usando Linux, configure:

    Contexto
    Valor

    MongoDB Agent Kerberos Principal

    O Kerberos Principal.

    MongoDB Agent Keytab Path

    O caminho para o Keytab do agente.

    Se estiver usando o Windows, configure:

    Contexto
    Valor

    MongoDB Agent Username

    O nome de usuário do Active Directory.

    MongoDB Agent Password

    A senha do Active Directory.

    Domain

    O nome NetBIOS de um domínio nos Serviços de Domínio do Active Directory. Deve estar em todas as letras maiúsculas.

8
9
10

Caso contrário, clique em Cancel e você poderá fazer alterações adicionais.

11

Depois de habilitar a autorização LDAP, você precisa criar roles personalizadas do MongoDB para cada grupo LDAP especificado para a autorização LDAP.

Voltar

Usar LDAP