Habilitar autenticação LDAP para seu projeto do Cloud Manager
Nesta página
- A autenticação OAuth 2.0 para acesso programático ao Cloud Manager está disponível como um recurso de visualização.
- O recurso e a documentação correspondente podem mudar a qualquer momento durante o período de Pré-visualização. Para usar a 2.0 autenticação OAuth, crie uma conta de serviço para usar em suas solicitações para a API pública do Cloud Manager .
Observação
A partir do MongoDB 8.0, A autenticação e autorizaçãoLDAP estão obsoletas. O recurso está disponível e continuará a operar sem alterações durante a vida útil do MongoDB 8. O LDAP será removido em uma futura versão principal.
Para obter detalhes, consulte Descontinuação do LDAP.
O Cloud Manager permite configurar os mecanismos de autenticação que todos os clientes, incluindo os agentes do Cloud Manager, usam para se conectar aos MongoDB deployments. Você pode habilitar vários mecanismos de autenticação para cada projeto, mas deve escolher apenas um mecanismo para os agentes.
MongoDB Enterprise permite solicitações de autenticação de proxy para um serviço Lightweight Directory Access Protocol (LDAP).
LDAP está disponível apenas em compilações MongoDB Enterprise. Se você tiver implantações existentes em execução em uma compilação do MongoDB Community, será necessário atualizá-las para o MongoDB Enterprise antes de habilitar o LDAP para seu projeto do Cloud Manager.
Considerações
O MongoDB Enterprise oferece suporte a ligação simples e SASL para servidores LDAP (Lightweight Directory Access Protocol) via saslauthd e bibliotecas do sistema operacional:
O MongoDB Enterprise para Linux pode vincular a um servidor LDAP via
saslauthdou, iniciando no MongoDB 3.4, por meio das bibliotecas do sistema operacional.A partir da versão 3.4 do MongoDB, o MongoDB Enterprise para Windows pode se vincular a um servidor LDAP por meio das bibliotecas do sistema operacional.
As seções Autenticação de proxy LDAP e Autorização LDAP no manual do MongoDB fornecem mais informações sobre LDAP e MongoDB. A configuração de LDAP e SASL está além do escopo deste documento.
Procedimento
Este procedimento descreve como configurar e habilitar a autenticação LDAP ao usar a Automação. Se o Cloud Manager não gerenciar o Monitoramento ou o Backup, você deverá configurá-los manualmente para usar o LDAP. Para configurar o LDAP, consulte Configurar o MongoDB Agent para LDAP
Observação
Se você deseja redefinir as configurações de autenticação e TLS para seu projeto, primeiro deixe de gerenciar qualquer MongoDB deployment que o Cloud Manager gerencia em seu projeto.
No MongoDB Cloud Manager, acesse aGo Deployment página do seu projeto.
Se ainda não estiver exibido, selecione a organização que contém o projeto desejado no menu Organizations na barra de navegação.
Se ainda não estiver exibido, selecione o projeto desejado no menu Projects na barra de navegação.
Se a página Deployment ainda não estiver exibida, clique em Deployment na barra lateral.
A página Sistema é exibida.
Acesse a página Security.
Clique na aba Security para sua implantação.
A página Segurança é exibida.
Vá paraGo a caixa de diálogo do seu sistema.Security Settings
Realize uma das seguintes ações:
Se esta for a primeira vez que você define configurações de TLS, autenticação ou autorização para este projeto, clique em Get Started.
Se você já configurou a autenticação do TLS ou as configurações de autorização deste projeto, clique em Edit.
Especifique as Configurações do TLS.
Campo | em ação | ||||
|---|---|---|---|---|---|
MongoDB Deployment Transport Layer Security (TLS) | Alterne este controle deslizante para ON. | ||||
Caminho do arquivo TLS CA | O arquivo da autoridade de certificação TLS é um arquivo de certificado no formato A chave privada criptografada para o Digite o caminho do arquivo da autoridade de certificação TLS em cada host que estiver executando um processo do MongoDB:
Isto habilita a configuração do Clique em Validate para testar se cada host no seu sistema tem uma Autoridade de Certificado TLS nos caminhos especificados. | ||||
Modo de certificado de cliente | Selecione se os aplicativos do cliente ou os MongoDB Agents devem apresentar um certificado TLS ao se conectar a um sistema MongoDB habilitado para TLS. Cada sistema do MongoDB verifica se há certificados desses hosts clientes quando eles tentam se conectar. Se você optar por exigir os certificados TLS do cliente, verifique se eles são válidos. Os valores aceitos são:
|
Defina as configurações de autorização LDAP. (Opcional)
Importante
A partir do MongoDB 3.4, você pode autenticar usuários usando certificados LDAP, Kerberos ou X.509 sem exigir documento de usuário local no reconhecimento de data center $external , desde que primeiro habilite a autorização LDAP. Quando esse usuário se autentica com êxito, o MongoDB executa uma query no servidor LDAP para recuperar todos os grupos que esse usuário LDAP possui e transforma esses grupos em suas funções equivalentes no MongoDB.
Pule esta etapa se você selecionou Saslauthd na etapa anterior.
Se você selecionou Native LDAP Authentication, complete as seguintes etapas:
Forneça os seguintes valores:
ContextoValorURL do servidor
Especifique a combinação
hostname:portde um ou mais servidores LDAP.transportSecurity
Selecione
TLSpara criptografar suas query LDAP. Se você não precisar criptografar as query LDAP, selecioneNone.Tempo limite (ms)
Especifique quanto tempo uma solicitação de autenticação deve esperar antes de atingir o tempo limite.
Método de vinculação
Selecione
SASLouSimple.IMPORTANTE: se você escolher o método de associação
Simple, selecioneTLSem Transport Security porque o método de associaçãoSimplepassa a senha em texto sem formatação.Mecanismos SASL
Especifique qual serviço de autenticação SASL o MongoDB usa com o servidor LDAP.
Usuário da consulta (LDAP Bind DN)
Especifique o nome diferenciado LDAP ao qual o MongoDB se liga ao conectar ao servidor LDAP.
query da Password (LDAP Bind nome diferenciado)
Especifique a senha com a qual o MongoDB se liga ao conectar a um servidor LDAP.
Intervalo(s) de invalidação de cache do usuário LDAP
Especifique quanto tempo o MongoDB espera para limpar o cache do usuário LDAP. O padrão é
30segundos.Mapeamento de nome diferenciado do usuário
Especifique uma array de documentos JSON que fornecem a(s) transformação(ões) ordenada(s) que o MongoDB executa nos nomes de usuário autenticados do MongoDB. O MongoDB então compara o nome de usuário transformado com os DNs LDAP.
Validar configuração do servidor LDAP
Selecione
ONpara validar a configuração do servidor LDAP ouOFFpara ignorar a validação.Se
ONe a configuração forem inválidas, a implantação do MongoDB não será iniciada.Na seção LDAP Authorization , insira valores para os seguintes campos:
ContextoValorLDAP Authorization
Alterne para ON para habilitar a autorização LDAP.
Authorization Query Template
Especifique um modelo para um URL de query LDAP para recuperar uma lista de grupos LDAP para um usuário LDAP.
User to Distinguished Name Mapping
Especifique uma array de documentos JSON que fornecem a(s) transformação(ões) ordenada(s) que o MongoDB executa nos nomes de usuário autenticados do MongoDB. O MongoDB então compara o nome de usuário transformado com os DNs LDAP.
Configure os agentes para usar o {{ mecanismo}} para se conectar à sua implantação do MongoDB .
Selecione a opção {{mecanismo}} na seção Agent Auth Mechanism .
Forneça credenciais para o MongoDB Agent:
ContextoValorMongoDB Agent Username
Insira o nome de usuário LDAP .
MongoDB Agent Password
Insira a senha do nome de usuário LDAP do agente.
MongoDB Agent LDAP nome diferenciado
Se você habilitou a autorização LDAP, insira o nome diferenciado do grupo do qual o usuário do MongoDB Agent é membro.
Crie roles MongoDB para grupos LDAP. (Opcional)
Depois de habilitar a autorização LDAP, você precisa criar roles personalizadas do MongoDB para cada grupo LDAP especificado para a autorização LDAP.