Menu Docs
Página inicial do Docs
/
MongoDB Cloud Manager
/
Segurança
/
Proteger com autenticação

Habilitar autenticação x.509 para seu projeto do Cloud Manager

Nesta página

  • Pré-requisitos
  • Procedimentos

O Cloud Manager permite configurar os mecanismos de autenticação que todos os clientes, incluindo os agentes do Cloud Manager, usam para se conectar aos MongoDB deployments. Você pode habilitar vários mecanismos de autenticação para cada projeto, mas deve escolher apenas um mecanismo para os agentes.

O MongoDB permite autenticação de cliente e certificado de membro x.509 para uso com uma conexão TLS/SSL segura. A autenticação x.509 permite que usuários e outros membros se autentiquem em servidores com certificados, em vez de com um nome de usuário e senha.

Pré-requisitos

Importante

Uma descrição completa da Transport Layer Security, infraestrutura de chave pública, X.509 certificados e Autoridades de certificação excede o escopo deste tutorial. Este tutorial pressupõe o conhecimento prévio do TLS e o acesso a certificados X.509 válidos.

Procedimentos

Esses procedimentos descrevem como configurar e habilitar a autenticação x.509 ao usar a Automação. Se o Cloud Manager não managed seus agente, você deverá configurá-los manualmente para usar a autenticação x.509.

Observação

Para saber mais, consulte Configurar o MongoDB Agent para autenticação X.509.

Preparar uma implantação existente para a autenticação do certificado x.509

Importante

O uso da autenticação de certificado de cliente x.509 requer TLS/SSL. Se o Cloud Manager managed uma ou mais implantações existentes, o TLS/SSL deverá ser habilitado em cada processo na MongoDB antes de habilitar a autenticação x.509.

Observação

Se o TLS/SSL já estiver habilitado, você poderá pular este procedimento.

1

No MongoDB Cloud Manager, acesse aGo Deployment página do seu projeto.

  1. Se ainda não estiver exibido, selecione a organização que contém o projeto desejado no menu Organizations na barra de navegação.

  2. Se ainda não estiver exibido, selecione o projeto desejado no menu Projects na barra de navegação.

  3. Se a página Deployment ainda não estiver exibida, clique em Deployment na barra lateral.

    A página Sistema é exibida.

2

Vá para a página.<a class=\" \" href=\" \" title=\" \"><svg xmlns=\" \" width=\" \" height=\" \"Processes fill=\" \" viewbox=\" \" class=\" \" role=\" \" aria-label=\" \"><path fill=\" \" d=\" \"> <path fill=\" \" d=\" \">

Clique na aba Processes para sua implantação.

A página Processos é exibida.

3

Selecione a Clusters visualização para sua implantação.

4

Na linha listando o processo, clique Modify em .

5

Expanda a Advanced Configuration Options seção.

6

Defina as opções de inicializaçãodo TLS/SSL.

  1. Clique em Add Option para adicionar cada uma das seguintes opções:

    Opção
    Obrigatório
    Valor
    Obrigatório
    Selecione requireTLS.
    Obrigatório
    Forneça o caminho absoluto para o certificado do servidor.
    Obrigatório

    Forneça a senha do arquivo de chave PEM se você o tiver criptografado.

    IMPORTANTE: se a chave privada criptografada para o .pem arquivo de certificado estiver em PKCS #8 formato, ele deve usar PBES2 operações de criptografia. O MongoDB Agent não suporta PKCS #8 com outras operações de criptografia.

    Opcional
    Selecione true se quiser habilitar o modo FIPS.

  2. Após adicionar cada opção, clique em Add.

  3. Após adicionar as opções exigidas, clique em Save.

7

Clique em.<a class=\" \" href=\" \"Save title=\" \"><svg xmlns=\" \" width=\" \" height=\" \" fill=\" \" viewbox=\" \" class=\" \" role=\" \" aria-label=\" \"><path fill=\" \" d=\" \"> <path fill=\" \" d=\" \">

8

Clique Review & Deploy em para rever as suas alterações.

9

Clique Confirm & Deploy em para implantar suas alterações.

Caso contrário, clique em Cancel e você poderá fazer alterações adicionais.

Configurar um sistema existente para autenticação de certificado de membro x.509

Observação

Este procedimento é opcional. Ele permite que os membros de um conjunto de réplicas ou cluster fragmentado também usem certificados x.509 para autenticar uns aos outros. Se não estiver configurado, o conjunto de réplicas e os membros do cluster fragmentado ainda poderão se autenticar uns com os outros usando a autenticação keyFile .

Aviso

Este procedimento é irreversível

Se você habilitar a autenticação do certificado de membro x.509 para qualquer implantação em um projeto, não poderá desabilitar a autenticação do certificado de membro x.509 para a implantação nem desabilitar a autenticação do cliente x.509 no nível do projeto.

Habilitar a autenticação de certificado de membro x.509 para uma implantação em um projeto não habilita ou exige a autenticação de certificado de membro x.509 para outras implantações no projeto. Opcionalmente, você pode habilitar uma à outra implantação no projeto para usar a autenticação do certificado de membro x.509.

1

No MongoDB Cloud Manager, acesse aGo Deployment página do seu projeto.

  1. Se ainda não estiver exibido, selecione a organização que contém o projeto desejado no menu Organizations na barra de navegação.

  2. Se ainda não estiver exibido, selecione o projeto desejado no menu Projects na barra de navegação.

  3. Se a página Deployment ainda não estiver exibida, clique em Deployment na barra lateral.

    A página Sistema é exibida.

2

Vá para a página.<a class=\" \" href=\" \" title=\" \"><svg xmlns=\" \" width=\" \" height=\" \"Processes fill=\" \" viewbox=\" \" class=\" \" role=\" \" aria-label=\" \"><path fill=\" \" d=\" \"> <path fill=\" \" d=\" \">

Clique na aba Processes para sua implantação.

A página Processos é exibida.

3

Selecione a Clusters visualização para sua implantação.

4

Na linha listando o processo, clique Modify em .

5

Expanda a Advanced Configuration Options seção.

6

Defina as opções de inicialização do x.509.

  1. Clique em Add Option para adicionar cada opção.

    Opção
    Valor
    clusterAuthMode
    Selecione x509.
    clusterFile
    Forneça o caminho para o arquivo da chave PEM do nó.

  2. Após cada opção, clique em Add.

7

Clique em.<a class=\" \" href=\" \"Save title=\" \"><svg xmlns=\" \" width=\" \" height=\" \" fill=\" \" viewbox=\" \" class=\" \" role=\" \" aria-label=\" \"><path fill=\" \" d=\" \"> <path fill=\" \" d=\" \">

8

Clique Review & Deploy em para rever as suas alterações.

9

Clique Confirm & Deploy em para implantar suas alterações.

Caso contrário, clique em Cancel e você poderá fazer alterações adicionais.

Quando você configurar as opções de TLS/SSL para cada processo implantado, você poderá prosseguir para habilitar a autenticação x.509 para seu projeto do Cloud Manager.

Habilitar autenticação de certificado de cliente x.509 para seu projeto do Cloud Manager

1

No MongoDB Cloud Manager, acesse aGo Deployment página do seu projeto.

  1. Se ainda não estiver exibido, selecione a organização que contém o projeto desejado no menu Organizations na barra de navegação.

  2. Se ainda não estiver exibido, selecione o projeto desejado no menu Projects na barra de navegação.

  3. Se a página Deployment ainda não estiver exibida, clique em Deployment na barra lateral.

    A página Sistema é exibida.

2

Vá para a página.<a class=\" \" href=\" \" title=\" \"><svg xmlns=\" \" width=\" \" height=\" \"Security fill=\" \" viewbox=\" \" class=\" \" role=\" \" aria-label=\" \"><path fill=\" \" d=\" \"> <path fill=\" \" d=\" \">

Clique na aba Security para sua implantação.

A página Segurança é exibida.

3

Vá paraGo a caixa de diálogo do seu sistema.Security Settings

Realize uma das seguintes ações:

  • Se esta for a primeira vez que você define configurações de TLS, autenticação ou autorização para este projeto, clique em Get Started.

  • Se você já configurou a autenticação do TLS ou as configurações de autorização deste projeto, clique em Edit.

4

Especifique as Configurações do TLS.

Campo
em ação
MongoDB Deployment Transport Layer Security (TLS)
Alterne este controle deslizante para ON.
Caminho do arquivo TLS CA

O arquivo da autoridade de certificação TLS é um arquivo de certificado no formato .pem que contém a cadeia de certificados raiz da autoridade de certificação. O MongoDB Agent usa esse mesmo arquivo de autoridade de certificação para se conectar a cada item em seu sistema.

A chave privada criptografada para o .pem arquivo de certificado deve estar em PKCS #1 formato. O MongoDB Agent não é compatível com o PKCS #8 formato.

Digite o caminho do arquivo da autoridade de certificação TLS em cada host que estiver executando um processo do MongoDB:

  • Digite o caminho do arquivo em todos os hosts Linux na primeira caixa.

  • Digite o caminho do arquivo em todos os hosts do Windows na segunda caixa.

Isto habilita a configuração do net.tls.CAFile para os processos do MongoDB no projeto.

Clique em Validate para testar se cada host no seu sistema tem uma Autoridade de Certificado TLS nos caminhos especificados.

Modo de certificado de cliente

Selecione se os aplicativos do cliente ou os MongoDB Agents devem apresentar um certificado TLS ao se conectar a um sistema MongoDB habilitado para TLS. Cada sistema do MongoDB verifica se há certificados desses hosts clientes quando eles tentam se conectar. Se você optar por exigir os certificados TLS do cliente, verifique se eles são válidos.

Os valores aceitos são:

Opcional
Cada cliente pode apresentar um certificado TLS válido ao conectar a MongoDB deployments. Os MongoDB Agents podem usar certificados TLS se você não definir mongod tlsMode como None.
Obrigatório
Todo sistema do MongoDB neste projeto começa com conexões de rede criptografadas por TLS. Todos os agentes devem usar o TLS para se conectar a qualquer sistema do MongoDB.
5

Escolha o mecanismo de autenticação.

6

Defina as configurações de autorização LDAP.

Importante

Iniciando com MongoDB 3.4, você pode autenticar usuários utilizando certificados LDAP, Kerberos e X.509 sem exigir documento de usuário local no reconhecimento de data center do $external , desde que você habilite primeiro a autorização LDAP. Quando esse usuário se autentica com êxito, o MongoDB executa uma query no servidor LDAP para recuperar todos os grupos que esse usuário LDAP possui e transforma esses grupos em suas funções equivalentes no MongoDB.

Pule esta etapa se não quiser habilitar a autorização LDAP.

  1. Insira valores para os seguintes campos:

    Contexto
    Valor
    LDAP Authorization
    Alterne para ON para habilitar a autorização LDAP.
    Authorization Query Template
    Especifique um modelo para um URL de query LDAP para recuperar uma lista de grupos LDAP para um usuário LDAP.
7

Configure o {{mecanismo}} para os Agentes.

Você pode habilitar mais de um mecanismo de autenticação para a implantação do MongoDB , mas os Agentes do Cloud Manager só podem usar um mecanismo de autenticação. Selecione {{mecanismo}} para se conectar à sua implantação do MongoDB .

  1. Selecione a opção {{mecanismo}} na seção Agent Auth Mechanism .

  2. Forneça credenciais para o MongoDB Agent:

    Contexto
    Valor
    MongoDB Agent Username
    Insira o nome diferenciado LDAPv3 derivado do arquivo de chave PEM do agente.
    MongoDB Agent Certificate File
    Forneça o caminho e o nome do arquivo da chave PEM do agente no servidor na linha do sistema operacional apropriado.
    MongoDB Agent Certificate Password
    Forneça a senha do arquivo da chave PEM se ele tiver sido criptografado.
8

Clique em.<a class=\" \" href=\" \"Save Settings title=\" \"><svg xmlns=\" \" width=\" \" height=\" \" fill=\" \" viewbox=\" \" class=\" \" role=\" \" aria-label=\" \"><path fill=\" \" d=\" \"> <path fill=\" \" d=\" \">

9

Clique Review & Deploy em para rever as suas alterações.

10

Clique Confirm & Deploy em para implantar suas alterações.

Caso contrário, clique em Cancel e você poderá fazer alterações adicionais.

11

Crie roles MongoDB para grupos LDAP. (Opcional)

Depois de habilitar a autorização LDAP, você precisa criar roles personalizadas do MongoDB para cada grupo LDAP especificado para a autorização LDAP.

Voltar

Volume de trabalho (aplicativos)

Próximo

Gerenciar usuários e funções