Habilitar autenticação x.509 para seu projeto do Ops Manager
Nesta página
O Ops Manager permite configurar os mecanismos de autenticação que todos os clientes, incluindo os agentes do Ops Manager, usam para se conectar aos MongoDB deployments. Você pode habilitar vários mecanismo de autenticação para cada um dos seu projeto, mas deve escolher apenas um mecanismo para o agente.
MongoDB suporta x. Autenticação de certificado de cliente e membro 509 para uso com umaconexão TLS/SSL segura. O x. A autenticação 509 permite que usuários e outros membros se autentiquem em servidores com certificados, em vez de com um nome de usuário e senha.
Pré-requisitos
Importante
Uma descrição completa da Transport Layer Security, infraestrutura de chave pública, X.509 certificados e Autoridades de certificação excede o escopo deste tutorial. Este tutorial pressupõe o conhecimento prévio doTLS e o acesso a certificados X.509 válidos.
Procedimentos
Esses procedimentos descrevem como configurar e habilitar a autenticação x.509 ao usar a Automação. Se o Ops Manager não managed seus agente, você deverá configurá-los manualmente para usar a autenticação x.509.
Observação
Para saber mais, consulte Configurar o MongoDB Agent para autenticação X.509.
Preparar uma implantação existente para a autenticação do certificado x.509
Importante
O uso da autenticação de certificado de cliente x.509 requer TLS/SSL. Se o Ops Manager managed uma ou mais implantações existentes, o TLS/SSL deverá ser habilitado em cada processo na implantação do MongoDB antes de habilitar a autenticação x.509.
Observação
Se o TLS/SSL já estiver habilitado, você poderá pular este procedimento.
Navegue até a Clusters caixa de visualização de seu sistema.
Se ainda não estiver exibido, selecione a organização que contém o projeto desejado no menu Organizations na barra de navegação.
Se ainda não estiver exibido, selecione o projeto desejado no menu Projects na barra de navegação.
Se ainda não estiver exibido, clique em Deployment na barra lateral.
Clique na visualização Clusters.
Defina as opções de inicializaçãodo TLS/SSL.
Clique em Add Option para adicionar cada uma das seguintes opções:
OpçãoObrigatórioValorObrigatórioSelecionerequireTLS
.ObrigatórioForneça o caminho absoluto para o certificado do servidor.ObrigatórioOpcionalSelecionetrue
se quiser habilitar o modo FIPS.Após adicionar cada opção, clique em Add.
Após adicionar as opções exigidas, clique em Save.
Configurar um sistema existente para autenticação de certificado de membro x.509
Observação
Este procedimento é opcional. Ele permite que os membros de um conjunto de réplicas ou cluster fragmentado também usem certificados x.509 para autenticar uns aos outros. Se não estiver configurado, o conjunto de réplicas e os membros do cluster fragmentado ainda poderão se autenticar uns com os outros usando a autenticação keyFile
.
Aviso
Este procedimento é irreversível
Se você habilitar a autenticação do certificado de membro x.509 para qualquer implantação em um projeto, não poderá desabilitar a autenticação do certificado de membro x.509 para a implantação nem desabilitar a autenticação do cliente x.509 no nível do projeto.
Habilitar a autenticação de certificado de membro x.509 para uma implantação em um projeto não habilita ou exige a autenticação de certificado de membro x.509 para outras implantações no projeto. Opcionalmente, você pode habilitar uma à outra implantação no projeto para usar a autenticação do certificado de membro x.509.
Importante
Se você configurou o MongoDB Agent PEM e definiu security.clusterAuthMode
: para x509
, um aviso de que Client connecting with server's own TLS certificate
será exibido nos arquivos de log do mongod
, indicando que o cliente está se conectando com o certificado TLS do próprio servidor.
Esse é o comportamento esperado, porque o MongoDB Agent se conecta ao Ops Manager usando a configuração de autorização interna. Nenhuma ação é necessária.
Navegue até a Clusters caixa de visualização do seu sistema.
Se ainda não estiver exibido, selecione a organização que contém o projeto desejado no menu Organizations na barra de navegação.
Se ainda não estiver exibido, selecione o projeto desejado no menu Projects na barra de navegação.
Se ainda não estiver exibido, clique em Deployment na barra lateral.
Clique na visualização Clusters.
Quando você configurar as opções de TLS/SSL para cada processo implantado, você poderá habilitar a autenticação x.509 para seu projeto do Ops Manager.
Habilitar autenticação de certificado de cliente x.509 para seu projeto do Ops Manager
Navegue até a Security Settings caixa de diálogo para seu sistema.
Se ainda não estiver exibido, selecione a organização que contém o projeto desejado no menu Organizations na barra de navegação.
Se ainda não estiver exibido, selecione o projeto desejado no menu Projects na barra de navegação.
Se ainda não estiver exibido, clique em Deployment na barra lateral.
Clique na aba Security.
Clique na aba Settings.
Realize uma das seguintes ações:
Se esta for a primeira vez que você define configurações de TLS, autenticação ou autorização para este projeto, clique em Get Started.
Se você já configurou a autenticação do TLS ou as configurações de autorização deste projeto, clique em Edit.
Especifique as Configurações do TLS.
Campo | em ação | ||||
---|---|---|---|---|---|
MongoDB Deployment Transport Layer Security (TLS) | Alterne este controle deslizante para ON. | ||||
Caminho do arquivo TLS CA | O arquivo da autoridade de certificação TLS é um arquivo de certificado no formato A chave privada criptografada para o Digite o caminho do arquivo da autoridade de certificação TLS em cada host que estiver executando um processo do MongoDB:
Isto habilita a configuração do Clique em Validate para testar se cada host no seu sistema tem uma Autoridade de Certificado TLS nos caminhos especificados. | ||||
Caminho do arquivo TLS CA do cluster | O arquivo Se você não especificar
| ||||
Modo de certificado de cliente | Selecione se os aplicativos do cliente ou os MongoDB Agents devem apresentar um certificado TLS ao se conectar a um sistema MongoDB habilitado para TLS. Cada sistema do MongoDB verifica se há certificados desses hosts clientes quando eles tentam se conectar. Se você optar por exigir os certificados TLS do cliente, verifique se eles são válidos. Os valores aceitos são:
|
Escolha o mecanismo de autenticação.
Na seção MongoDB Agent Connections to Deployment, selecione X.509 Client Certificate (MONGODB-X509).
Importante
Se você não estiver utilizando a autorização LDAP, você deverá adicionar usuários ao banco de dados do $external
em seu sistema MongoDB. Para um exemplo, consulte x.509 Autenticação do Certificado de Cliente.
Defina as configurações de autorização LDAP.
Importante
Iniciando com MongoDB 3.4, você pode autenticar usuários utilizando certificados LDAP, Kerberos e X.509 sem exigir documento de usuário local no reconhecimento de data center do $external
, desde que você habilite primeiro a autorização LDAP. Quando esse usuário se autentica com êxito, o MongoDB executa uma query no servidor LDAP para recuperar todos os grupos que esse usuário LDAP possui e transforma esses grupos em suas funções equivalentes no MongoDB.
Pule esta etapa se não quiser habilitar a autorização LDAP.
Insira valores para os seguintes campos:
ContextoValorLDAP AuthorizationAlterne para ON para habilitar a autorização LDAP.Authorization Query TemplateEspecifique um modelo para um URL de query LDAP para recuperar uma lista de grupos LDAP para um usuário LDAP.
Configure X.509 Client Certificate (MONGODB-X509) para os agentes.
Você pode habilitar mais de um mecanismo de autenticação para a implantação do MongoDB, mas os agentes do Ops Manager só podem usar um mecanismo de autenticação. Selecione X.509 Client Certificate (MONGODB-X509) para se conectar ao MongoDB deployment.
Selecione a opção X.509 Client Certificate (MONGODB-X509) na seção Agent Auth Mechanism .
Forneça credenciais para o MongoDB Agent:
ContextoValorMongoDB Agent UsernameInsira o nome diferenciado LDAPv3 derivado do arquivo de chave PEM do agente.MongoDB Agent Certificate FileForneça o caminho e o nome do arquivo da chave PEM do agente no servidor na linha do sistema operacional apropriado.MongoDB Agent Certificate PasswordForneça a senha do arquivo da chave PEM se ele tiver sido criptografado.
Crie roles MongoDB para grupos LDAP. (Opcional)
Depois de habilitar a autorização LDAP, você precisa criar roles personalizadas do MongoDB para cada grupo LDAP especificado para a autorização LDAP.