mongokerberos

Instalar com servidor

Para instalar o mongokerberos como parte de uma instalação do MongoDB Enterprise Server:

• Siga as instruções para a sua plataforma: Instalar o MongoDB Enterprise Server

• Após concluir a instalação, o mongokerberos e as outras ferramentas incluídas estarão disponíveis no mesmo local que o Servidor.

  Observação

  Para o assistente de instalação do Windows .msi , a opção de instalação do Complete inclui mongokerberos.

Instalar como autônomo

Para instalar o mongokerberos como uma instalação standalone:

• Siga o link de download do MongoDB Enterprise Edition: Centro de download do MongoDB Enterprise

• Selecione seu Platform (sistema operacional) no menu suspenso e, em seguida, selecione o Package apropriado para sua plataforma, de acordo com o gráfico a seguir:

  os	Pacote
  Linux	tgz Pacote
  Windows	zip Pacote
  macOS	tgz Pacote

• Após o download, descompacte o arquivo e copie o mongokerberos para um local no seu disco rígido.

  Dica

  Os usuários de Linux e macOS podem desejar copiar mongokerberos para um local do sistema de arquivos definido na variável de ambiente $PATH , como /usr/bin. Isso permite referenciar mongokerberos diretamente na linha de comando pelo nome, sem precisar especificar seu caminho completo ou primeiro navegar para seu diretório pai. Consulte o guia de instalação da sua plataforma para obter mais informações.

Modo Servidor

A execução do mongokerberos no modo de servidor executa uma série de etapas de verificação em relação à configuração do Kerberos do seu sistema, incluindo a verificação da resolução de DNS adequada, a validação do arquivo de keytab do sistema Kerberos e o teste em relação ao principal de serviço do MongoDB para seu mongod ou mongos instância.

Antes de usar mongokerberos no modo de servidor, você deve:

1. Configure o Kerberos na sua plataforma de acordo com a documentação da sua plataforma.

2. Crie o principal de serviço MongoDB para uso com sua instância mongod ou mongos , conforme descrito nas etapas a seguir:

   • Configurar o Service Principal no Linux

   • Configurar o Service Principal no Windows

Depois de concluir essas etapas, você pode executar mongokerberos no modo de servidor usando o sinalizador --server da seguinte forma:

mongokerberos --server

Se o Kerberos tiver sido configurado corretamente no servidor e a entidade de serviço tiver sido criada com êxito, o resultado poderá ser semelhante ao seguinte:

Resolving kerberos environment...
[OK] Kerberos environment resolved without errors.
Verifying DNS resolution works with Kerberos service at <hostname>...
[OK] DNS test successful.
Getting MIT Kerberos KRB5 environment variables...
  * KRB5CCNAME: not set.
  * KRB5_CLIENT_KTNAME: not set.
  * KRB5_CONFIG: not set.
  * KRB5_KTNAME: not set.
  * KRB5_TRACE: not set.
[OK]
Verifying existence of KRB5 keytab FILE:/etc/krb5.keytab...
[OK] KRB5 keytab exists and is populated.
Checking principal(s) in KRB5 keytab...
Found the following principals for MongoDB service mongodb:
  * mongodb/server.example.com@SERVER.EXAMPLE.COM
Found the following kvnos in keytab entries for service mongodb:
  * 3
[OK] KRB5 keytab is valid.
Fetching KRB5 Config...
KRB5 config profile resolved as:
   <Your Kerberos profile file will be output here>
[OK] KRB5 config profile resolved without errors.
Attempting to initiate security context with service credentials...
[OK] Security context initiated successfully.

A mensagem final indica que a configuração Kerberos do sistema está pronta para ser usada com MongoDB. Se algum erro for encontrado com a configuração, ele será apresentado como parte da saída acima.

Modo cliente

A execução mongokerberos no modo cliente testa a autenticação em relação ao ambiente Kerberos do seu sistema, executando cada etapa do processo de autenticação Kerberos, incluindo a verificação da resolução adequada de DNS, a verificação do arquivo keytab do cliente Kerberos e o teste se um ticket pode ser concedido com êxito. A execução do mongokerberos no modo do cliente simula o procedimento de autenticação do cliente do mongosh.

Antes de poder usar mongokerberos no modo cliente, é necessário primeiro configurar o Kerberos em sua plataforma, de acordo com a documentação da sua plataforma. Opcionalmente, você também pode optar por executar mongokerberos primeiro no modo servidor para verificar se a configuração do Kerberos da sua plataforma é válida antes de usar o modo cliente.

Depois de concluir essas etapas, você pode executar mongokerberos no modo cliente para testar a autenticação do usuário, usando o sinalizador --client da seguinte forma:

mongokerberos --client --username <username>

Você deve fornecer um nome de usuário válido, que é usado para solicitar um ticket Kerberos como parte do procedimento de autenticação. A infraestrutura Kerberos da sua plataforma deve estar ciente desse usuário.

Se as credenciais fornecidas forem válidas e as opções Kerberos nos arquivos de configuração forem válidas, a saída poderá se assemelhar ao seguinte:

 Resolving kerberos environment...
 [OK] Kerberos environment resolved without errors.
 Verifying DNS resolution works with Kerberos service at <hostname>...
 [OK] DNS test successful.
 Getting MIT Kerberos KRB5 environment variables...
   * KRB5CCNAME: not set.
   * KRB5_CLIENT_KTNAME: not set.
   * KRB5_CONFIG: not set.
   * KRB5_KTNAME: not set.
   * KRB5_TRACE: not set.
 [OK]
 Verifying existence of KRB5 client keytab FILE:/path/to/client.keytab...
 [OK] KRB5 client keytab exists and is populated.
 Checking principal(s) in KRB5 keytab...
 [OK] KRB5 keytab is valid.
 Fetching KRB5 Config...
 KRB5 config profile resolved as:
    <Your Kerberos profile file will be output here>
 [OK] KRB5 config profile resolved without errors.
 Attempting client half of GSSAPI conversation...
 [OK] Client half of GSSAPI conversation completed successfully.

A mensagem final indica que a autenticação do cliente foi concluída com sucesso para o usuário fornecido. Se algum erro for encontrado durante as etapas de autenticação, ele será apresentado como parte da saída acima.