Menu Docs
Página inicial do Docs
/
MongoDB Ops Manager
/
Segurança
/
MongoDB deployments seguros com autenticação

Habilitar autenticação LDAP para seu projeto do Ops Manager

Nesta página

  • Considerações
  • Procedimento

O Ops Manager permite configurar os mecanismos de autenticação que todos os clientes, incluindo os agentes do Ops Manager, usam para se conectar aos MongoDB deployments. Você pode habilitar vários mecanismo de autenticação para cada um dos seu projeto, mas deve escolher apenas um mecanismo para o agente.

MongoDB Enterprise permite solicitações de autenticação de proxy para um serviço Lightweight Directory Access Protocol (LDAP).

LDAP está disponível apenas nas compilações do MongoDB Enterprise. Se você tiver implantações existentes executando em uma compilação da comunidade do MongoDB, você deverá atualizá-las para MongoDB Enterprise antes de habilitar o LDAP para seu projeto do Ops Manager.

Considerações

O MongoDB Enterprise oferece suporte a ligação simples e SASL para servidores LDAP (Lightweight Directory Access Protocol) via saslauthd e bibliotecas do sistema operacional:

  • O MongoDB Enterprise para Linux pode vincular a um servidor LDAP via saslauthd ou, iniciando no MongoDB 3.4, por meio das bibliotecas do sistema operacional.

  • A partir da versão 3.4 do MongoDB, o MongoDB Enterprise para Windows pode se vincular a um servidor LDAP por meio das bibliotecas do sistema operacional.

As seções Autenticação de proxy LDAP e Autorização LDAP no manual do MongoDB fornecem mais informações sobre LDAP e MongoDB. A configuração de LDAP e SASL está além do escopo deste documento.

Procedimento

Este procedimento descreve como configurar e habilitar a autenticação LDAP ao usar a Automação. Se o Ops Manager não gerenciar o Monitoramento ou o Backup, você deverá configurá-los manualmente para usar o LDAP. Para configurar o LDAP, consulte Configurar MongoDB Agent para LDAP

Observação

Se você quiser redefinir as configurações de autenticação e TLS para o seu projeto, primeiro desmarque qualquer MongoDB que o Ops Manager managed no seu projeto.

1

Navegue até a Security Settings caixa de diálogo para seu sistema.

  1. Se ainda não estiver exibido, selecione a organização que contém o projeto desejado no menu Organizations na barra de navegação.

  2. Se ainda não estiver exibido, selecione o projeto desejado no menu Projects na barra de navegação.

  3. Se ainda não estiver exibido, clique em Deployment na barra lateral.

  1. Clique na aba Security.

  2. Clique na aba Settings.

  3. Realize uma das seguintes ações:

    • Se esta for a primeira vez que você define configurações de TLS, autenticação ou autorização para este projeto, clique em Get Started.

    • Se você já configurou a autenticação do TLS ou as configurações de autorização deste projeto, clique em Edit.

2

Opcional: Especifique as Configurações do TLS .

Campo
em ação
MongoDB Deployment Transport Layer Security (TLS)
Alterne este controle deslizante para ON.
Caminho do arquivo TLS CA

O arquivo da autoridade de certificação TLS é um arquivo de certificado no formato .pem que contém a cadeia de certificados raiz da autoridade de certificação. O MongoDB Agent usa esse mesmo arquivo de autoridade de certificação para se conectar a cada item em seu sistema.

A chave privada criptografada para o .pem arquivo de certificado deve estar em PKCS #1 formato. O MongoDB Agent não é compatível com o PKCS #8 formato.

Digite o caminho do arquivo da autoridade de certificação TLS em cada host que estiver executando um processo do MongoDB:

  • Digite o caminho do arquivo em todos os hosts Linux na primeira caixa.

  • Digite o caminho do arquivo em todos os hosts do Windows na segunda caixa.

Isto habilita a configuração do net.tls.CAFile para os processos do MongoDB no projeto.

Clique em Validate para testar se cada host no seu sistema tem uma Autoridade de Certificado TLS nos caminhos especificados.

Modo de certificado de cliente

Selecione se os aplicativos do cliente ou os MongoDB Agents devem apresentar um certificado TLS ao se conectar a um sistema MongoDB habilitado para TLS. Cada sistema do MongoDB verifica se há certificados desses hosts clientes quando eles tentam se conectar. Se você optar por exigir os certificados TLS do cliente, verifique se eles são válidos.

Os valores aceitos são:

Opcional
Cada cliente pode apresentar um certificado TLS válido ao conectar a MongoDB deployments. Os MongoDB Agents podem usar certificados TLS se você não definir mongod tlsMode como None.
Obrigatório
Todo sistema do MongoDB neste projeto começa com conexões de rede criptografadas por TLS. Todos os agentes devem usar o TLS para se conectar a qualquer sistema do MongoDB.

Aviso

É recomendável usar TLS (Transport Layer Security)/SSL (Secure Sockets Layer) com LDAP (Lightweight Directory Access Protocol)

Por padrão, o tráfego LDAP é enviado como texto simples. Isso significa que as credenciais (nome de usuário e senha) estão expostas a riscos básicos de rede, como sniffers e replays. Use LDAPS (LDAP sobre TLS/SSL) para criptografar a autenticação. Muitos serviços de diretório modernos, como o Active Directory, exigem conexões criptografadas.

3

Escolha o mecanismo de autenticação.

  1. Na seção MongoDB Agent Connections to Deployment, selecione LDAP.

  2. Selecione o tipo apropriado de autenticação do LDAP .

    Importante

    • Se você estiver usando a autorização LDAP, deverá selecionar Native LDAP Authentication.

    • Se você não estiver utilizando a autorização LDAP, você deverá adicionar usuários ao banco de dados do $external em seu sistema MongoDB. Para um exemplo, consulte Autenticação LDAP.

4

Defina as configurações de autorização LDAP. (Opcional)

Importante

A partir do MongoDB 3.4, você pode autenticar usuários usando certificados LDAP, Kerberos ou X.509 sem exigir documento de usuário local no reconhecimento de data center $external , desde que primeiro habilite a autorização LDAP. Quando esse usuário se autentica com êxito, o MongoDB executa uma query no servidor LDAP para recuperar todos os grupos que esse usuário LDAP possui e transforma esses grupos em suas funções equivalentes no MongoDB.

Pule esta etapa se você selecionou Saslauthd na etapa anterior.

Se você selecionou Native LDAP Authentication, complete as seguintes etapas:

  1. Forneça os seguintes valores:

    Contexto
    Valor
    URL do servidor
    Especifique a combinação hostname:port de um ou mais servidores LDAP.
    transportSecurity
    Selecione TLS para criptografar suas query LDAP. Se você não precisar criptografar as query LDAP, selecione None.
    Tempo limite (ms)
    Especifique quanto tempo uma solicitação de autenticação deve esperar antes de atingir o tempo limite.
    Método de vinculação

    Selecione SASL ou Simple.

    Importante

    Se você escolher o método de vinculação Simple , selecione TLS no Transport Security porque o método de vinculação Simple passa a senha em texto simples.

    Mecanismos SASL
    Especifique qual serviço de autenticação SASL o MongoDB usa com o servidor LDAP.
    Usuário da consulta (LDAP Bind DN)
    Especifique o nome diferenciado LDAP ao qual o MongoDB se liga ao conectar ao servidor LDAP.
    query da Password (LDAP Bind nome diferenciado)
    Especifique a senha com a qual o MongoDB se liga ao conectar a um servidor LDAP.
    Intervalo(s) de invalidação de cache do usuário LDAP
    Especifique quanto tempo o MongoDB espera para limpar o cache do usuário LDAP. O padrão é 30 segundos.
    Mapeamento de nome diferenciado do usuário
    Especifique uma array de documentos JSON que fornecem a(s) transformação(ões) ordenada(s) que o MongoDB executa nos nomes de usuário autenticados do MongoDB. O MongoDB então compara o nome de usuário transformado com os DNs LDAP.
    Validar configuração do servidor LDAP

    Selecione ON para validar a configuração do servidor LDAP ou OFF para ignorar a validação.

    Se ON e a configuração forem inválidas, a implantação do MongoDB não será iniciada.

  2. Na seção LDAP Authorization , insira valores para os seguintes campos:

    Contexto
    Valor
    LDAP Authorization
    Alterne para ON para habilitar a autorização LDAP.
    Authorization Query Template
    Especifique um modelo para um URL de query LDAP para recuperar uma lista de grupos LDAP para um usuário LDAP.
    User to Distinguished Name Mapping
    Especifique uma array de documentos JSON que fornecem a(s) transformação(ões) ordenada(s) que o MongoDB executa nos nomes de usuário autenticados do MongoDB. O MongoDB então compara o nome de usuário transformado com os DNs LDAP.
5

Configure os agentes para usar LDAP para se conectar à sua implantação do MongoDB.

Observação

Lembre-se

O Ops Manager limita os agentes a usar um mecanismo por sistema.

  1. Selecione a opção LDAP na seção Agent Auth Mechanism .

  2. Forneça credenciais para o MongoDB Agent:

    Contexto
    Valor
    MongoDB Agent Username
    Insira o nome de usuário LDAP .
    MongoDB Agent Password
    Insira a senha do nome de usuário LDAP do agente.
    MongoDB Agent LDAP nome diferenciado
    Se você habilitou a autorização LDAP, insira o nome diferenciado do grupo do qual o usuário do MongoDB Agent é membro.
6

Clique Save Settings.

7

Clique Review & Deploy em para rever as suas alterações.

8

Clique Confirm & Deploy em para implantar suas alterações.

Caso contrário, clique em Cancel e você poderá fazer alterações adicionais.

9

Crie roles MongoDB para grupos LDAP. (Opcional)

Depois de habilitar a autorização LDAP, você precisa criar roles personalizadas do MongoDB para cada grupo LDAP especificado para a autorização LDAP.

Voltar

Habilitar autenticação de nome de usuário/senha