Habilitar autenticação Kerberos para seu projeto do Ops Manager
Nesta página
Visão geral
O Ops Manager permite configurar os mecanismos de autenticação que todos os clientes, incluindo os agentes do Ops Manager, usam para se conectar aos MongoDB deployments. Você pode habilitar vários mecanismo de autenticação para cada um dos seu projeto, mas deve escolher apenas um mecanismo para o agente.
MongoDB Enterprise oferece suporte à autenticação usando um serviço Kerberos. O Kerberos é um protocolo de autenticação padrão do setor para grandes sistemas de cliente/servidor.
Importante
A instalação e a configuração de um sistema do Kerberos estão além do escopo deste documento. Este tutorial pressupõe que você tenha configurado um principal Kerberos para cada agente e tenha um arquivo keytab válido para cada agente.
Para autenticar o MongoDB com Kerberos, você deve:
Tenha um sistema Kerberos configurado corretamente,
Configurar entidades de serviço Kerberos para MongoDB e
Adicione as entidades de usuário Kerberos para os agentes.
A seção Autenticação Kerberos do Manual do MongoDB fornece mais detalhes sobre o uso do MongoDB com Kerberos.
Considerações
Kerberos (GSSAPI)
está disponível apenas nas compilações do MongoDB Enterprise . Se você tiver implantações existentes executando em uma compilação MongoDB Community , você deverá atualizá-las para MongoDB Enterprise antes de habilitar o Kerberos (GSSAPI)
para seu projeto MongoDB Ops Manager .
Este tutorial descreve como habilitar o Kerberos para um de seus projetos do Ops Manager e como configurar seus agentes do Ops Manager para se conectarem à sua implantação habilitada para o Kerberos.
Observação
Se você quiser redefinir as configurações de autenticação e TLS para o seu projeto, primeiro desmarque qualquer MongoDB que o Ops Manager managed no seu projeto.
Procedimentos
Esses procedimentos descrevem como configurar e habilitar a autenticação Kerberos ao usar a Automação. Se o Ops Manager não gerenciar seu monitoramento ou backups, você deverá configurá-los manualmente para autenticar usando Kerberos.
Consulte Configurar o MongoDB Agent para Kerberos para obter instruções.
Configurar um sistema Linux existente para autenticação baseada em Kerberos
Se você usar o Ops Manager para managed implantações existentes no Linux em seu projeto, todas as implantações do MongoDB no projeto deverão ser configuradas para autenticação Kerberos antes que você possa habilitar a autenticação Kerberos para seu projeto.
Navegue até a Clusters caixa de visualização de seu sistema.
Se ainda não estiver exibido, selecione a organização que contém o projeto desejado no menu Organizations na barra de navegação.
Se ainda não estiver exibido, selecione o projeto desejado no menu Projects na barra de navegação.
Se ainda não estiver exibido, clique em Deployment na barra lateral.
Clique na visualização Clusters.
Após configurar as opções do Kerberos para cada sistema, você poderá habilitar o Kerberos para seu projeto do Ops Manager.
Habilitar Kerberos para seu projeto do Ops Manager
Navegue até a Security Settings caixa de diálogo para seu sistema.
Se ainda não estiver exibido, selecione a organização que contém o projeto desejado no menu Organizations na barra de navegação.
Se ainda não estiver exibido, selecione o projeto desejado no menu Projects na barra de navegação.
Se ainda não estiver exibido, clique em Deployment na barra lateral.
Clique na aba Security.
Clique na aba Settings.
Realize uma das seguintes ações:
Se esta for a primeira vez que você define as configurações de TLS, autenticação ou autorização para esse projeto, clique em Get Started.
Se você já configurou a autenticação do TLS ou as configurações de autorização deste projeto, clique em Edit.
Opcional: Especifique as Configurações do TLS.
Campo | em ação | ||||
---|---|---|---|---|---|
MongoDB Deployment Transport Layer Security (TLS) | Alterne este controle deslizante para ON. | ||||
Caminho do arquivo TLS CA | O arquivo da autoridade de certificação TLS é um arquivo de certificado no formato A chave privada criptografada para o Digite o caminho do arquivo da autoridade de certificação TLS em cada host que estiver executando um processo do MongoDB:
Isto habilita a configuração do Clique em Validate para testar se cada host no seu sistema tem uma Autoridade de Certificado TLS nos caminhos especificados. | ||||
Caminho do arquivo TLS CA do cluster | O arquivo Se você não especificar
| ||||
Modo de certificado de cliente | Selecione se os aplicativos do cliente ou os MongoDB Agents devem apresentar um certificado TLS ao se conectar a um sistema MongoDB habilitado para TLS. Cada sistema do MongoDB verifica se há certificados desses hosts clientes quando eles tentam se conectar. Se você optar por exigir os certificados TLS do cliente, verifique se eles são válidos. Os valores aceitos são:
|
O TLS não é necessário para uso com autenticação Kerberos (GSSAPI) .
Escolha o mecanismo de autenticação.
Na seção MongoDB Agent Connections to Deployment, selecione Kerberos (GSSAPI).
Insira seu nome de serviço SASL.
O SASL Service Name é o nome principal do serviço Kerberos para mongod ou mongos.
Importante
Se você não estiver utilizando a autorização LDAP, você deverá adicionar usuários ao banco de dados do $external
em seu sistema MongoDB. Para ver um exemplo, consulte Autenticação Kerberos.
Defina as configurações de autorização LDAP.
Importante
Iniciando com MongoDB 3.4, você pode autenticar usuários utilizando certificados LDAP, Kerberos e X.509 sem exigir documento de usuário local no reconhecimento de data center do $external
, desde que você habilite primeiro a autorização LDAP. Quando esse usuário se autentica com êxito, o MongoDB executa uma query no servidor LDAP para recuperar todos os grupos que esse usuário LDAP possui e transforma esses grupos em suas funções equivalentes no MongoDB.
Pule esta etapa se não quiser habilitar a autorização LDAP.
Insira valores para os seguintes campos:
ContextoValorLDAP AuthorizationAlterne para ON para habilitar a autorização LDAP.Authorization Query TemplateEspecifique um modelo para um URL de query LDAP para recuperar uma lista de grupos LDAP para um usuário LDAP.
Configure Kerberos (GSSAPI) para os agentes.
Você pode habilitar mais de um mecanismo de autenticação para a implantação do MongoDB, mas os agentes do Ops Manager só podem usar um mecanismo de autenticação. Selecione Kerberos (GSSAPI) para se conectar ao MongoDB deployment.
Selecione a opção Kerberos (GSSAPI) na seção Agent Auth Mechanism .
Forneça credenciais para o MongoDB Agent:
Se estiver usando Linux, configure:
ContextoValorMongoDB Agent Kerberos PrincipalO Kerberos Principal.MongoDB Agent Keytab PathO caminho para o Keytab do agente.Se estiver usando o Windows, configure:
ContextoValorMongoDB Agent UsernameO nome de usuário do Active Directory.MongoDB Agent PasswordA senha do Active Directory.DomainO nome NetBIOS de um domínio nos Serviços de Domínio do Active Directory. Deve estar em todas as letras maiúsculas.
Crie roles MongoDB para grupos LDAP. (Opcional)
Depois de habilitar a autorização LDAP, você precisa criar roles personalizadas do MongoDB para cada grupo LDAP especificado para a autorização LDAP.