Configurar o MongoDB Agent para Autenticação X.509
Nesta página
O Ops Manager permite configurar os mecanismos de autenticação que todos os clientes, incluindo os agentes do Ops Manager, usam para se conectar aos MongoDB deployments. Você pode habilitar vários mecanismo de autenticação para cada um dos seu projeto, mas deve escolher apenas um mecanismo para o agente.
O MongoDB suporta X.509 certificado autenticação para uso com uma conexãoTLS segura. X.509 autenticação de cliente permite que os clientes autentiquem em servidores com certificados, em vez de com um nome de usuário e senha.
Observação
Com a automação, o Ops Manager managed a autenticação do MongoDB Agent para você. Para saber mais sobre autenticação, consulte Habilitar autenticação x.509 para seu projeto do Ops Manager.
Considerações
Uma descrição completa da Transport Layer Security, infraestrutura de chave pública, X.509 certificados e Autoridades de certificação excede o escopo deste tutorial. Este tutorial pressupõe o conhecimento prévio do TLS e o acesso a certificados X.509 válidos.
Pré-requisitos
Para habilitar a autenticação X.509 para o MongoDB Ops Manager, você deve obter certificados TLS válidos que uma única autoridade de certificação (CA) tenha gerado e assinado. Para saber mais sobre os requisitos de certificado, consulte Cliente x. Certificado 509 no Manual do MongoDB.
A autenticação do certificado de cliente X.509 exige que você habilite e configure o TLS para o sistema.
Procedimentos
Este tutorial pressupõe que você já configurou sua implantação MongoDB para utilizar autenticação de certificado X.509 e TLS. Se ainda não tiver feito isso, consulte os tutoriais Usar X.509 Certificados para Autenticar Clientes e Configurar mongod e mongos para TLS .
Criar usuário MongoDB a partir do X.509 subject
Quando a automação é ativada, o Ops Manager managed a autenticação do MongoDB Agent.
Para configurar o X.509 para a autenticação do MongoDB Agent, consulte Habilitar autenticação de certificado de cliente x.509 para seu projeto do Ops Manager.
Para que o MongoDB Agent se conecte à sua MongoDB deployment, você deve criar um usuário MongoDB em seu sistema que corresponda ao valor subject do seu certificado de cliente .
O local onde você cria o usuário MongoDB depende se você está usando ou não a autorização LDAP .
Observação
Começar com MongoDB 8.0, A autenticação e autorização LDAP estão obsoletas. O recurso está disponível e continuará a operar sem alterações durante toda a vida útil do MongoDB 8. O LDAP será removido em uma versão principal futura.
Para obter detalhes, consulte Descontinuação do LDAP.
Se você estiver usando a autorização LDAP em sua implementação do MongoDB , deverá criar um usuário LDAP e um grupo LDAP para o MongoDB Agent no servidor LDAP . Após criar o usuário e o grupo LDAP , mapeie o grupo LDAP para uma função do MongoDB no banco de banco de dados admin do seu sistema.
Aviso
Ao utilizar a Autorização LDAP , não crie quaisquer utilizadores MongoDB no banco de banco de dados do $external . O MongoDB 3.4 e posterior não iniciará se houver um usuário MongoDB no banco de banco de dados $external e a autorização LDAP estiver habilitada.
Para o usuário MongoDB que representa o MongoDB Agent:
Crie um novo usuário LDAP no seu servidor LDAP chamado que usa o valor
subjectdo seu certificado de cliente como nome de usuário.Crie um grupo LDAP cujo nome corresponda à função do MongoDB Agent.
Crie a função do MongoDB Agent em seu banco de banco de dados
admincom as permissões apropriadas.Observação
Quando a automação é ativada, a automação cria automaticamente uma função para o usuário do MongoDB Agent para autenticação LDAP .
Atribua o usuário LDAP ao grupo LDAP .
Dica
Veja também:
Para saber como: | Veja |
|---|---|
Criar um usuário LDAP | Documentação para sua implementação de LDAP . |
Criar um grupo LDAP | Documentação para sua implementação de LDAP . |
Atribua as funções apropriadas para o MongoDB Agent | |
Mapear um grupo LDAP e um role do MongoDB | Seção Funções LDAP da página de autorização LDAP no manual do MongoDB . |
Configurar autorização LDAP sem a automação MongoDB Ops Manager | Página Autorização LDAP no manual MongoDB . |
Se você não estiver usando a autorização LDAP , deverá adicionar o valor subject do certificado do cliente como o nome de usuário do MongoDB Agent no banco de banco de dados $external da implantação do MongoDB . Sem autorização LDAP , o MongoDB usa o banco de banco de dados $external para autenticar um usuário no X.509.
Observação
Para descobrir as funções apropriadas para o MongoDB Agent, consulte Acesso necessário para o MongoDB Agent.
Use os seguintes comandos para criar os usuários a partir do mongosh:
db.getSiblingDB("$external").createUser( { user : "<x.509 subject>", roles : [ { role : "clusterAdmin", db : "admin" }, { role : "readWriteAnyDatabase", db : "admin" }, { role : "userAdminAnyDatabase", db : "admin" }, { role : "dbAdminAnyDatabase", db : "admin" }, { role : "backup", db : "admin" }, { role : "restore", db : "admin" } ] } )
Para saber qual acesso é necessário, consulte Acesso necessário para o MongoDB Agent.
Cada usuário MongoDB deve ter seu próprio certificado X.509 .
Editar arquivo de configuração do MongoDB Agent
Para usar a autenticação X.509, você deve configurar o MongoDB Agent para TLS :
Especifique o caminho de arquivo absoluto para seu certificado CA confiável no arquivo de configuração do MongoDB Agent.
Se você habilitou o TLS para seu sistema do Ops Manager, deverá configurar o MongoDB Agent para usar o TLS. Para configurar o MongoDB Agent para usar TLS, você deve ter o certificado de autoridade de certificação confiável que assinou o certificado da instância do MongoDB.
No diretório de instalação do MongoDB Agent , edite o arquivo de configuração para definir o campo httpsCAFile como o caminho de um arquivo que contém um ou mais certificados no formato PEM .
A localização do arquivo de configuração do MongoDB Agent é C:\MMSData\Automation\automation-agent.config.
Observação
O arquivo de configuração do MongoDB Agent é chamado automation-agent.config como uma forma de facilitar as atualizações para aqueles que usam agentes legados.
A localização do arquivo de configuração do MongoDB Agent é /etc/mongodb-mms/automation-agent.config.
Observação
O arquivo de configuração do MongoDB Agent é chamado automation-agent.config como uma forma de facilitar as atualizações para aqueles que usam agentes legados.
A localização do arquivo de configuração do MongoDB Agent é /etc/mongodb-mms/automation-agent.config.
Observação
O arquivo de configuração do MongoDB Agent é chamado automation-agent.config como uma forma de facilitar as atualizações para aqueles que usam agentes legados.
A localização do arquivo de configuração do MongoDB Agent é /path/to/install/local.config.
Exemplo
Use o seguinte comando para conectar por meio mongosh:
mongosh --tls --tlsCAFile /etc/ssl/ca.pem example.net:27017
Em seguida, modifique o arquivo de configuração e defina o seguinte par chave/valor:
httpsCAFile=/etc/ssl/ca.pem
Salve o arquivo de configuração.
Para saber mais sobre essas configurações, consulte Configurações de TLS do Ops Manager.
Configurar o MongoDB Agent para usar TLS fornece mais detalhes sobre como configurar o MongoDB Agent para TLS.
Depois de configurar o MongoDB Agent, configure o mecanismo de autenticação X.509 na interface do Ops Manager, conforme descrito em Habilitar autenticação x.509 para seu projeto do Ops Manager.