Menu Docs

Configure o MongoDB autogerenciado com autenticação Kerberos e autorização do Active Directory

O MongoDB Enterprise oferece suporte à query de um servidor LDAP para os grupos LDAP aos quais pertence um usuário autenticado. O MongoDB mapeia os nomes distintos (DN) LDAP de cada grupo retornado para roles no banco de banco de dados admin . O MongoDB autoriza o usuário baseado nos roles mapeados e seus privilégios associados. Consulte Autorização LDAP para obter mais informações.

O MongoDB Enterprise permite a autenticação usando um serviço Kerberos. O Kerberos é um protocolo de autenticação padrão do setor para grandes sistemas de cliente/servidor.

Este tutorial descreve como configurar o MongoDB para executar a autenticação por meio de um servidor Kerberos e a autorização por meio de um servidor Active Directory (AD) pelas bibliotecas da plataforma.

Importante

Familiarize-se completamente com os seguintes assuntos antes de prosseguir:

Uma descrição completa do AD está além do escopo deste tutorial. Este tutorial pressupõe conhecimento prévio do AD.

O MongoDB suporta o uso de mecanismos SASL para ligação entre o servidor MongoDB e o AD. Uma descrição completa do SASL, mecanismos SASL ou os requisitos específicos de configuração do AD para um determinado mecanismo SASL estão além do escopo deste tutorial. Este tutorial pressupõe o conhecimento prévio do SASL e seu assunto relacionado.

A instalação e a configuração de uma implantação do Kerberos estão além do escopo deste documento. Este tutorial pressupõe que você tenha configurado uma entidade de serviço Kerberos para cada instância mongod e mongos em sua implantação do MongoDB e que tenha um arquivo keytab válido para cada instância mongod e mongos.

Para conjuntos de réplicas e clusters fragmentados, verifique se sua configuração usa nomes de domínio totalmente qualificados (FQDN) em vez de endereços IP ou nomes de host não qualificados. Você deve usar o FQDN para GSSAPI para resolver corretamente os domínios Kerberos e permitir que você se conecte.

Para verificar se você está usando o MongoDB Enterprise, passe a opção de linha de comando --version para mongod ou mongos:

mongod --version

Na saída deste comando, procure a string modules: subscription ou modules: enterprise para confirmar que você está usando os binários MongoDB Enterprise.

Este tutorial explica como configurar o MongoDB para autenticação Kerberos e autorização do AD.

Para executar esse procedimento em seu próprio servidor MongoDB , você deve modificar os procedimentos fornecidos em relação à sua infraestrutura específica, especialmente as configurações Kerberos, a construção de queries do AD ou o gerenciamento de usuários.

Por padrão, o MongoDB cria uma conexão TLS/SSL ao se vincular ao servidor AD. Isso requer a configuração do host do servidor MongoDB para ter acesso aos certificados de Autoridade de Certificação (CA) do servidor AD.

Este tutorial fornece instruções para as configurações de host necessárias.

Este tutorial pressupõe que você tenha acesso aos certificados CA do servidor AD e possa criar uma cópia dos certificados no servidor MongoDB.

Este tutorial usa os seguintes exemplo de objetos do AD como base para as queries, configurações e saída fornecidas. Cada objeto mostra apenas um subconjunto dos possíveis atributos.

dn:CN=bob,CN=Users,DC=marketing,DC=example,DC=com
userPrincipalName: bob@marketing.example.com
memberOf: CN=marketing,CN=Users,DC=example,DC=com
dn:CN=alice,CN=Users,DC=engineering,DC=example,DC=com
userPrincipalName: alice@engineering.example.com
memberOf: CN=web,CN=Users,DC=example,DC=com
memberOf: CN=PrimaryApplication,CN=Users,DC=example,DC=com
dn:CN=sam,CN=Users,DC=dba,DC=example,DC=com
userPrincipalName: sam@dba.example.com
memberOf: CN=dba,CN=Users,DC=example,DC=com
memberOf: CN=PrimaryApplication,CN=Users,DC=example,DC=com
dn:CN=joe,CN=Users,DC=analytics,DC=example,DC=com
userPrincipalName: joe@analytics.example.com
memberof: CN=marketing,CN=Users,DC=example,DC=com
dn:CN=marketing,CN=Users,DC=example,DC=com
member:CN=bob,CN=Users,DC=marketing,DC=example,DC=com
member:CN=joe,CN=Users,DC=analytics,DC=example,DC=com
dn:CN=engineering,CN=Users,DC=example,DC=com
member:CN=web,CN=Users,DC=example,DC=com
member:CN=dba,CN=users,DC=example,DC=com
dn:CN=web,CN=Users,DC=example,DC=com
member:CN=alice,CN=Users,DC=engineering,DC=example,DC=com
dn:CN=dba,CN=Users,DC=example,DC=com
member:CN=sam,CN=Users,DC=dba,DC=example,DC=com
dn:CN=PrimaryApplication,CN=Users,DC=example,DC=com
member:CN=sam,CN=Users,DC=dba,DC=example,DC=com
member:CN=alice,CN=Users,DC=engineering,DC=example,DC=com

Este tutorial utiliza um nome de usuário e senha para executar queries no servidor AD . As credenciais fornecidas devem ter privilégios suficientes no servidor AD para suportar queries relacionadas a security.ldap.userToDNMapping ou security.ldap.authz.queryTemplate.

A autorização LDAP do MongoDB requer que cada mongod no conjunto de réplicas esteja ativado pelo menos no MongoDB 3.4.0 ou mais tarde.

A autorização LDAP do MongoDB exige que todos os mongod e mongos do cluster fragmentado sejam pelo menos do MongoDB 3.4.0 ou posterior.

1

Para se conectar ao servidor AD (AD) via TLS/SSL, o mongod ou mongos exige acesso ao certificado da Autoridade de Certificação (CA) do servidor AD .

No Linux, especifique os certificados CA do servidor AD por meio da opção TLS_CACERT ou TLS_CACERTDIR no arquivo ldap.conf .

O gerenciador de pacotes da sua plataforma cria o arquivo ldap.conf ao instalar a dependência libldap do MongoDB Enterprise. Para obter a documentação completa do arquivo de configuração ou das opções indicadas, consulte ldap.conf.

No Microsoft Windows, carregue os certificados de Autoridade de Certificação (CA) do servidor AD com a ferramenta de gerenciamento de credenciais da plataforma. A ferramenta exata de gerenciamento de credenciais depende da versão do Windows . Para usar a ferramenta, consulte a documentação referente à sua versão do Windows.

Se mongod ou mongos não puderem acessar os arquivos AD CA, não poderão criar conexões TLS/SSL com o servidor Active Directory.

Opcional: defina security.ldap.transportSecurity como none para desabilitar TLS/SSL.

Aviso

Definir transportSecurity como none transmite informações de texto simples, inclusive credenciais de usuário, entre o MongoDB e o servidor AD.

2

Para servidores MongoDB em execução no sistema operacional Windows , você deve usar setspn.exe para atribuir o nome principal de serviço (SPN) à conta que executa o serviço MongoDB .

setspn.exe -S <service>/<fully qualified domain name> <service account name>

Exemplo

Por exemplo, se mongod for executado como um serviço chamado mongodb no mongodbserver.example.com com o nome da conta de serviço mongodb_dev@example.com, o comando para atribuir o SPN será assim:

setspn.exe -S mongodb/mongodbserver.example.com mongodb_dev@example.com

Observação

O Windows Server 2003 não suporta setspn.exe -S. Para obter a documentação completa do setspn.exe, consulte setspn.exe.

3

Para servidores MongoDB em execução na plataforma Linux, você deve garantir que o servidor tenha uma cópia do arquivo keytab específico para a instância do MongoDB em execução nesse servidor.

Você deve conceder ao usuário Linux que está executando o serviço MongoDB permissões de leitura no arquivo keytab. Anote o caminho completo do local do arquivo keytab.

4

Conecte-se ao servidor do MongoDB usando as opções mongosh --host e --port.

mongosh --host <hostname> --port <port>

Se seu servidor do MongoDB atualmente forçar autenticação, você deverá autenticar no banco de dados do admin como um usuário com privilégio de gerenciamento de funções, como as fornecidas por userAdmin ou userAdminAnyDatabase. Inclua o devido --authenticationMechanism para o mecanismo de autenticação configurado do servidor do MongoDB.

mongosh --host <hostname> --port <port> --username <user> --password <pass> --authenticationDatabase="admin" --authenticationMechanism="<mechanism>"

Observação

Para implantações do MongoDB no Windows, você deve substituir mongosh por mongo.exe

5

Para gerenciar usuários MongoDB utilizando AD, você precisa criar pelo menos uma função no banco de banco de dados do admin que pode criar e gerenciar funções, como as fornecidas pelo userAdmin ou userAdminAnyDatabase.

O nome da função deve corresponder exatamente ao Nome Distinto de um grupo do AD. O grupo deve ter pelo menos um usuário do AD como membro.

Considerando os grupos disponíveis do Active Directory, a seguinte operação:

  • Cria um papel nomeado para o grupo AD CN=dba,CN=Users,DC=example,DC=com e

  • Atribui a ele a função userAdminAnyDatabase no banco de dados admin.

var admin = db.getSiblingDB("admin")
admin.createRole(
{
role: "CN=dba,CN=Users,DC=example,DC=com",
privileges: [],
roles: [ "userAdminAnyDatabase" ]
}
)

Outra opção é conceder a função userAdmin para cada banco de dados no qual o usuário deva ter privilégios administrativos de usuário. Essas funções fornecem os privilégios necessários para a criação e o gerenciamento de funções.

Importante

Considere aplicar o privilégio mínimo ao configurar funções do MongoDB, grupos do AD ou associação a grupos.

6

Um arquivo de configuração do MongoDB é um arquivo YAML de texto simples com a extensão de arquivo .conf.

  • Se você estiver atualizando uma implantação do MongoDB, copie o arquivo de configuração atual e trabalhe a partir dessa cópia.

  • (Somente Linux) Se essa for uma nova implantação e você tiver usado o gerenciador de pacotes da sua plataforma para instalar o MongoDB Enterprise, a instalação conterá o arquivo de configuração padrão /etc/mongod.conf. Use esse arquivo de configuração padrão ou faça uma cópia desse arquivo para trabalhar.

  • Se esse arquivo não existir, crie um arquivo vazio com a extensão .conf e trabalhe a partir desse novo arquivo de configuração.

7

No arquivo de configuração do MongoDB, defina security.ldap.servers como o host e a porta do servidor AD. Se sua infraestrutura do AD incluir vários servidores do AD para fins de replicação, especifique o host e a porta dos servidores como uma lista delimitada por vírgulas até security.ldap.servers.

Exemplo

Para se conectar a um servidor AD localizado em activedirectory.example.net, inclua o seguinte no arquivo de configuração:

security:
ldap:
servers: "activedirectory.example.net"

O MongoDB deve se vincular ao servidor AD para executar queries. Por padrão, o MongoDB usa o mecanismo de autenticação simples para se vincular ao servidor AD .

Como alternativa, você pode definir as seguintes configurações no arquivo de configuração para vincular-se ao servidor AD usando SASL:

Este tutorial utiliza o mecanismo de autenticação LDAP simple padrão.

8

No arquivo de configuração do MongoDB, defina security.authorization como enabled e setParameter authenticationMechanisms como GSSAPI

Para habilitar a autenticação via Kerberos, inclua o seguinte no arquivo de configuração:

security:
authorization: "enabled"
setParameter:
authenticationMechanisms: "GSSAPI"
9

No arquivo de configuração do MongoDB, defina security.ldap.authz.queryTemplate para um modelo de URL de query LDAP formatado RFC4516.

No modelo, você pode usar:

  • O placeholder {USER} substituirá o nome de usuário autenticado na URL de query LDAP.

  • {PROVIDED_USER} espaço reservado para substituir o nome de usuário fornecido, ou seja, antes da autenticação ou transformação LDAP, na query LDAP.

Crie o modelo de query para recuperar os grupos do usuário.

Observação

Uma descrição completa da RFC4515, RFC4516, ou as queries do AD estão fora do escopo deste tutorial. O queryTemplate fornecido neste tutorial é apenas um exemplo e pode não ser aplicável à sua implantação específica do AD .

Exemplo

O modelo de consulta a seguir retorna todos os grupos que listam {USER} como membro, seguindo associações de grupo recursivas. Essa consulta LDAP pressupõe que os objetos de grupo rastreiam a associação do usuário armazenando o DN (Nome Distinto) completo do usuário usando o atributo member. A consulta inclui a regra de correspondência específica do AD OID 1.2.840.113556.1.4.1941 para LDAP_MATCHING_RULE_IN_CHAIN. Esta regra de correspondência é uma extensão específica do AD para filtros de pesquisa LDAP.

security:
ldap:
authz:
queryTemplate:
"DC=example,DC=com??sub?(&(objectClass=group)(member:1.2.840.113556.1.4.1941:={USER}))"

Utilizando a consulta, o MongoDB substitui o {USER} pelo nome de usuário autenticado para consultar o servidor LDAP.

Por exemplo, um usuário autentica como CN=sam,CN=Users,DC=dba,DC=example,DC=com. O MongoDB cria uma consulta LDAP baseada em queryTemplate, substituindo o token {USER} pelo nome de usuário autenticado. O servidor Active Directory executa uma pesquisa recursiva de grupo para qualquer grupo que liste direta ou transitivamente o usuário como membro. Com base nos grupos do Active Directory, o servidor AD retorna CN=dba,CN=Users,DC=example,DC=com e CN=engineering,CN=Users,DC=example,DC=com.

O MongoDB mapeia cada DN de grupo retornado para uma função no banco de dados admin. Para cada DN de grupo mapeado, se houver uma função existente no banco de dados admin cujo nome corresponda exatamente ao DN, o MongoDB concederá ao usuário as funções e privilégios atribuídos a essa função.

A regra correspondente LDAP_MATCHING_RULE_IN_CHAIN requer o fornecimento do DN completo do usuário autenticado. Como o Kerberos exige autenticação com o userPrincipalName de um usuário, é necessário transformar os nomes de usuário recebidos em DNs usando security.ldap.userToDNMapping. A próxima etapa fornece orientação sobre como transformar nomes de usuário recebidos para dar suporte ao queryTemplate.

10

No arquivo de configuração MongoDB , configure userToDNMapping para transformar o nome de usuário fornecido do usuário de autenticação em um DN do AD para suportar o queryTemplate.

Exemplo

A seguinte configuração userToDNMapping utiliza o filtro de expressão regular do match para captar o nome de usuário fornecido. O MongoDB insere o nome de usuário captado no modelo de query ldapQuery antes de executar a query.

security:
ldap:
userToDNMapping:
'[
{
match : "(.+)",
ldapQuery: "DC=example,DC=com??sub?(userPrincipalName={0})"
}
]'

Você deve modificar a configuração de amostra fornecida para corresponder à sua implantação. Por exemplo, o DN base ldapQuery deve corresponder ao DN base que contém suas entidades de usuário. Outras modificações podem ser necessárias para dar suporte à implantação do AD.

Exemplo

Um usuário se autentica como alice@ENGINEERING.EXAMPLE.COM. O MongoDB primeiro aplica quaisquer transformações especificadas em userToDNMapping. Com base na configuração fornecida, o MongoDB capta o nome de usuário no estágio match e executa uma consulta LDAP:

DC=example,DC=com??sub?(userPrincipalName=alice@ENGINEERING.EXAMPLE.COM)

Com base nos usuários configurados do Active Directory, o servidor AD deve retornar CN=alice,CN=Users,DC=engineering,DC=example,DC=com.

Em seguida, o MongoDB executa a consulta LDAP configurada em queryTemplate, substituindo o token {USER} pelo nome de usuário transformado CN=alice,CN=Users,DC=engineering,DC=example,DC=com.

Importante

Se você usar o parâmetro substitution do userToDNMapping para transformar o nome do grupo, o resultado da substituição deverá ser uma string RFC4514 escapada.

11

O MongoDB requer credenciais para realizar consultas no servidor AD.

Defina as seguintes configurações no arquivo de configuração:

security:
ldap:
bind:
queryUser: "mongodbadmin@dba.example.com"
queryPassword: "secret123"

Nos servidores Windows MongoDB , você pode definir security.ldap.bind.useOSDefaults como true para usar as credenciais do usuário do sistema operacional em vez de queryUser e queryPassword.

O queryUser deve ter permissão para executar todas as consultas LDAP em nome do MongoDB.

12

Inclua opções adicionais, conforme necessário, para sua configuração. Por exemplo, se você deseja que clientes remotos se conectem à sua implantação ou se os membros da implantação forem executados em hosts diferentes, especifique a configuração net.bindIp.

13

Inicie o servidor do MongoDB com a opção --config, especificando o caminho para o arquivo de configuração criado durante esse procedimento. Se o servidor do MongoDB estiver em execução no momento, faça as devidas preparações para interromper o servidor.

Linux MongoDB Servers

No Linux, você deve especificar a variável ambiental KRB5_KTNAME, especificando o caminho para o arquivo keytab para o servidor MongoDB.

env KRB5_KTNAME <path-to-keytab> mongod --config <path-to-config-file>

Microsoft Windows MongoDB Servers

No Windows, você deve iniciar o servidor MongoDB como a conta principal de serviço, conforme configurado anteriormente no procedimento:

mongod.exe --config <path-to-config-file>
14

Conecte-se ao servidor do MongoDB, autenticando-se como um usuário cuja associação de grupo direta ou transitiva corresponda a uma função do MongoDB no banco de dados admin com userAdmin, userAdminAnyDatabase ou uma função personalizada com privilégio equivalentes.

Com o objetivo de utilizar o mongosh para autenticar no servidor do MongoDB, configure as seguintes opções:

Exemplo

Anteriormente neste procedimento, você configurou a função dn:CN=dba,CN=Users,DC=example,DC=com no banco de dados admin com as permissões necessárias. Esta função corresponde a um grupo AD . Com base nos usuários do AD configurados, você pode se autenticar como o usuário sam@dba.example.com e receber as permissões necessárias.

mongosh --username sam@DBA.EXAMPLE.COM --password --authenticationMechanisms="GSSAPI" --authenticationDatabase "$external" --host <hostname> --port <port>

Se você não especificar a senha para a opção de linha de comando -p, o mongosh solicitará a senha.

As implantações do MongoDB no Windows devem usar mongo.exe em vez de mongosh.

Considerando os usuários do Active Directory configurados, o usuário se autentica com sucesso e recebe as devidas permissões.

Observação

Se você quiser se autenticar como um usuário existente não$external, defina --authenticationMechanism como um mecanismo de autenticação SCRAM (por exemplo, SCRAM-SHA-1 ou SCRAM-SHA-256). Isso requer que o setParameter do servidor MongoDB authenticationMechanisms do servidor MongoDB inclua SCRAM-SHA-1 e/ou SCRAM-SHA-256, conforme apropriado.

15

Para cada grupo no servidor AD que você deseja usar para autorização MongoDB , você deve criar uma função correspondente no banco de banco de dados admin do servidor MongoDB .

Exemplo

A operação a seguir cria uma função nomeada após o grupo AD DN CN=PrimaryApplication,CN=Users,DC=example,DC=com, atribuindo funções e privilégios apropriados a esse grupo:

db.getSiblingDB("admin").createRole(
{
role: "CN=PrimaryApplication,CN=Users,DC=example,DC=com",
privileges: [],
roles: [
{ role: "readWrite", db: "PrimaryApplication" }
]
}
)

Considerando os grupos configurados do Active Directory, o MongoDB permite que um usuário se autentique como a função sam@DBA.EXAMPLE.COM ou alice@ENGINEERING.EXAMPLE.COM readWrite no banco de dados PrimaryApplication.

Observação

Para funções gerenciadas no banco de dados admin, você deve ser autenticado como um usuário com userAdmin no admin, userAdminAnyDatabase ou uma função personalizada com privilégio equivalentes.

16

Se estiver atualizando uma instalação existente com usuários configurados no banco de banco de dados do $external , você deverá atender os seguintes requisitos para cada usuário para garantir o acesso após configurar o MongoDB para autenticação Kerberos e autorização do AD :

  • O usuário tem um objeto de usuário correspondente no servidor AD .

  • O usuário tem associação nos grupos apropriados no servidor AD .

  • O MongoDB contém as funções no banco de dados admin nomeadas para os grupos AD do usuário, de forma que o usuário autorizado mantenha seus privilégios.

Exemplo

O seguinte usuário existe no banco de dados $external:

{
user : "joe@ANALYTICS.EXAMPLE.COM",
roles: [
{ role : "read", db : "web_analytics" },
{ role : "read", db : "PrimaryApplication" }
]
}

Supondo que o usuário pertença ao grupo CN=marketing,CN=Users,DC=example,DC=com do AD, a operação a seguir cria uma função correspondente com os privilégios apropriados:

db.getSiblingDB("admin").createRole(
{
role: "CN=marketing,CN=Users,DC=example,DC=com",
privileges: [],
roles: [
{ role: "read", db: "web_analytics" }
{ role: "read", db: "PrimaryApplication" }
]
}
)

Com base no queryTemplate configurado, o MongoDB autoriza qualquer usuário que tenha associação direta ou transitiva no grupo CN=marketing,CN=Users,DC=example,DC=com a executar operações read no banco de dados web_analytics e PrimaryApplication.

Importante

Ao configurar uma função para um grupo do AD correspondente, lembre-se de que todos os usuários com associação a esse grupo podem receber as funções e privilégios atribuídos. Considere aplicar o princípio do menor privilégio ao configurar funções do MongoDB, grupos doAD ou associação a grupos.

Se você quiser continuar permitindo que usuários em bancos de dados que não são $external acessem o MongoDB, insira o mecanismo de autenticação SCRAM (por exemplo, SCRAM-SHA-1 e/ou SCRAM-SHA-256) na opção de configuração setParameter authenticationMechanisms.

setParameter:
authenticationMechanisms: "GSSAPI,SCRAM-SHA-1,SCRAM-SHA-256"

Como alternativa, faça a transição de usuários não$external para o AD seguindo o procedimento acima.

Esse procedimento produz o seguinte arquivo de configuração:

security:
authorization: "enabled"
ldap:
servers: activedirectory.example.net"
bind:
queryUser: "mongodbadmin@dba.example.com"
queryPassword: "secret123"
userToDNMapping:
'[
{
match: "(.+)"
ldapQuery: "DC=example,DC=com??sub?(userPrincipalName={0})"
}
]'
authz:
queryTemplate: "DC=example,DC=com??sub?(&(objectClass=group)(member:1.2.840.113556.1.4.1941:={USER}))"
setParameter:
authenticationMechanisms: "GSSAPI"

Importante

A configuração de amostra fornecida requer modificação para corresponder ao esquema do AD , estrutura de diretório e configuração. Você também pode precisar de opções de arquivo de configuração adicionais para sua implantação.

Para obter mais informações sobre como configurar funções e privilégios, consulte:

Após completar as etapas de configuração, você pode validar sua configuração com a ferramenta mongokerberos.

mongokerberos fornece um método prático para verificar a configuração Kerberos da sua plataforma para uso com o MongoDB e para testar se a autenticação Kerberos de um cliente MongoDB funciona conforme esperado. Consulte a documentação do mongokerberos para saber mais informações.

mongokerberos está disponível apenas no MongoDB Enterprise .