Autenticar e autorizar usuários usando o Active Directory autogerenciado com LDAP nativo

Configurar TLS/SSL para o servidor que executa o MongoDB

Para se conectar ao servidor AD (AD) via TLS/SSL, o mongod ou mongos exige acesso ao certificado de autoridade de certificação (CA) do servidor AD .

No Linux, especifique os certificados CA do servidor AD por meio da opção TLS_CACERT ou TLS_CACERTDIR no arquivo ldap.conf .

O gerenciador de pacotes da sua plataforma cria o arquivo ldap.conf ao instalar a dependência libldap do MongoDB Enterprise. Para obter a documentação completa do arquivo de configuração ou das opções indicadas, consulte ldap.conf.

No Microsoft Windows, carregue os certificados de autoridade de certificação (CA) do servidor AD com a ferramenta de gerenciamento de credenciais da plataforma. A ferramenta exata de gerenciamento de credenciais depende da versão do Windows . Para usar a ferramenta, consulte a documentação da sua versão do Windows.

Se mongod ou mongos não puderem acessar os arquivos AD CA, não poderão criar conexões TLS/SSL com o servidor Active Directory.

Opcional: defina security.ldap.transportSecurity como none para desabilitar TLS/SSL.

Conecte-se ao servidor MongoDB.

Conecte-se ao servidor do MongoDB usando as opções mongosh --host e --port.

mongosh --host <hostname> --port <port>

Se seu servidor do MongoDB atualmente forçar autenticação, você deverá autenticar no banco de dados do admin como um usuário com privilégio de gerenciamento de funções, como as fornecidas por userAdmin ou userAdminAnyDatabase. Inclua o devido --authenticationMechanism para o mecanismo de autenticação configurado do servidor do MongoDB.

mongosh --host <hostname> --port <port> --username <user> --password <pass> --authenticationDatabase="admin" --authenticationMechanism="<mechanism>"

Criar função administrativa de usuário.

Para managed usuários do MongoDB usando o AD, você precisa criar pelo menos um papel no reconhecimento de data center do admin que pode criar e managed papéis, como os fornecidos pelo userAdmin ou userAdminAnyDatabase.

O nome da role deve corresponder exatamente ao nome diferenciado de um grupo do AD . O grupo deve ter pelo menos um usuário AD como membro.

Considerando os grupos disponíveis do Active Directory, a seguinte operação:

• Cria um papel nomeado para o grupo AD CN=dba,CN=Users,DC=example,DC=com e

• Atribui a ele a função userAdminAnyDatabase no banco de dados admin.

var admin = db.getSiblingDB("admin")
admin.createRole(
   {
     role: "CN=dba,CN=Users,DC=example,DC=com",
     privileges: [],
     roles: [ "userAdminAnyDatabase" ]
   }
)

Outra opção é conceder a função userAdmin para cada banco de dados no qual o usuário deva ter privilégios administrativos de usuário. Essas funções fornecem os privilégios necessários para a criação e o gerenciamento de funções.

Crie um arquivo de configuração do MongoDB.

Um arquivo de configuração do MongoDB é um arquivo YAML de texto simples com a extensão de arquivo .conf.

• Se você estiver atualizando uma implantação do MongoDB, copie o arquivo de configuração atual e trabalhe a partir dessa cópia.

• (Somente Linux) Se essa for uma nova implantação e você tiver usado o gerenciador de pacotes da sua plataforma para instalar o MongoDB Enterprise, a instalação conterá o arquivo de configuração padrão /etc/mongod.conf. Use esse arquivo de configuração padrão ou faça uma cópia desse arquivo para trabalhar.

• Se esse arquivo não existir, crie um arquivo vazio com a extensão .conf e trabalhe a partir desse novo arquivo de configuração.

Configure o MongoDB para se conectar ao Active Directory.

No arquivo de configuração MongoDB, defina security.ldap.servers para o host e a porta do servidor AD . Se sua infraestrutura do AD incluir vários servidores do AD para fins de replicação, especifique o host e a porta dos servidores como uma lista delimitada por vírgulas para security.ldap.servers.

Você também deve habilitar a autenticação LDAP configurando security.authorization para enabled e setParameter authenticationMechanisms para PLAIN

security:
  authorization: "enabled"
  ldap:
    servers: "activedirectory.example.net"
setParameter:
  authenticationMechanisms: 'PLAIN'

MongoDB deve se vincular ao servidor AD para realizar query. Por padrão, o MongoDB usa o mecanismo de autenticação simples para se vincular ao servidor AD .

Alternativamente, você pode definir as seguintes configurações no arquivo de configuração para vincular ao servidor AD usando SASL:

• Defina security.ldap.bind.method como sasl

• security.ldap.bind.saslMechanisms, especificando uma sequência de mecanismos SASL separados por vírgula que o servidor AD suporta.

Este tutorial utiliza o mecanismo de autenticação LDAP simple padrão.

Configure o modelo de consulta LDAP para autorização.

No arquivo de configuração do MongoDB, defina security.ldap.authz.queryTemplate para um modelo de URL de query LDAP formatado RFC4516.

No modelo, você pode usar:

• {USER} espaço reservado para substituir o nome de usuário autenticado na URL de consulta do LDAP.

• {PROVIDED_USER} espaço reservado para substituir o nome de usuário fornecido, ou seja, antes da autenticação ou transformação LDAP, na query LDAP.

security:
  ldap:
    authz:
      queryTemplate:
        "DC=example,DC=com??sub?(&(objectClass=group)(member:1.2.840.113556.1.4.1941:={USER}))"

O MongoDB mapeia cada nome diferenciado de grupo retornado para um role no reconhecimento de data center admin . Para cada nome diferenciado de grupo mapeado, se houver uma role no admin reconhecimento de data center cujo nome corresponda exatamente ao nome diferenciado, o MongoDB concederá ao usuário as roles e os privilégio atribuídos a essa role.

A regra de correspondência LDAP_MATCHING_RULE_IN_CHAIN exige o fornecedor do nome diferenciado completo do usuário de autenticação. Se os usuários se autenticarem usando um formato de nome de usuário diferente, como user principal name, você deverá transformar os nomes de usuário recebidos em DNs usando security.ldap.userToDNMapping.

Opcional: transformar os nomes de usuário recebidos para autenticação via Active Directory,

Se seus usuários se autenticarem com um nome diferenciado que não é um LDAP completo, talvez seja necessário transformar o nome diferenciado para suportar a autenticação ou autorização LDAP. O MongoDB usa o nome de usuário transformado para autenticação e autorização.

No arquivo de configuração MongoDB, defina userToDNMapping para transformar o nome de usuário fornecido pelo usuário de autenticação em um nome diferenciado do AD para dar suporte ao queryTemplate.

security:
  ldap:
    userToDNMapping:
      '[
         {
            match : "(.+)",
            ldapQuery: "DC=example,DC=com??sub?(userPrincipalName={0})"
         }
    ]'

Você deve modificar a configuração de amostra fornecida para corresponder ao seu sistema. Por exemplo, o DN base ldapQuery deve corresponder ao DN base que contém suas entidades de usuário. Outras modificações podem ser necessárias para dar suporte à sua implantação do AD .

DC=example,DC=com??sub?(userPrincipalName=alice@ENGINEERING.EXAMPLE.COM)

Configurar credenciais de query.

O MongoDB requer credenciais para executar query no servidor AD .

Defina as seguintes configurações no arquivo de configuração:

• security.ldap.bind.queryUser, especificando o usuário do Active Directory, o mongod ou mongos se vincula como para executar consultas no servidor AD .

• security.ldap.bind.queryPassword, especificando a senha para o queryUser especificado.

security:
  ldap:
    bind:
      queryUser: "mongodbadmin@dba.example.com"
      queryPassword: "secret123"

Em servidores Windows MongoDB, você pode definir security.ldap.bind.useOSDefaults como true para usar as credenciais do usuário do sistema operacional em vez de queryUser e queryPassword.

O queryUser deve ter permissão para executar todas as consultas LDAP em nome do MongoDB.

Opcional: adicione definições de configuração adicionais.

Adicione quaisquer opções de configuração adicionais necessárias para o seu sistema. Por exemplo, você pode especificar o storage.dbPath desejado ou alterar o número net.port padrão.

mongod e mongos são vinculados ao localhost por padrão. Se os membros do seu sistema forem executados em hosts diferentes, ou se você desejar que clientes remotos se conectem ao seu sistema, especifique a configuração net.bindIp .

Inicie o servidor MongoDB com autenticação e autorização do Active Directory.

Inicie o servidor do MongoDB com a opção --config, especificando o caminho para o arquivo de configuração criado durante esse procedimento. Se o servidor do MongoDB estiver em execução no momento, faça as devidas preparações para interromper o servidor.

mongod --config <path-to-config-file>

As implantações do Windows MongoDB devem usar mongod.exe em vez de mongod.

Conecte-se ao servidor MongoDB.

Conecte-se ao servidor do MongoDB, autenticando-se como um usuário cuja associação de grupo direta ou transitiva corresponda a uma função do MongoDB no banco de dados admin com userAdmin, userAdminAnyDatabase ou uma função personalizada com privilégio equivalentes.

Com o objetivo de utilizar o mongosh para autenticar no servidor do MongoDB, configure as seguintes opções:

• --host com o nome de host do servidor MongoDB

• --port com a porta do servidor MongoDB

• --username para o nome de usuário do usuário

• --password para a senha do usuário

• --authenticationMechanism para 'PLAIN'

• --authenticationDatabase para '$external'

mongosh --username sam@DBA.EXAMPLE.COM --password  --authenticationMechanism 'PLAIN' --authenticationDatabase '$external' --host <hostname> --port <port>

Os sistemas do Windows MongoDB devem usar mongo.exe em vez de mongosh.

Considerando os usuários do Active Directory configurados, o usuário se autentica com sucesso e recebe as devidas permissões.

Crie roles para mapear grupos AD retornados.

Para cada grupo no servidor AD que você deseja usar para a autorização MongoDB, você deve criar uma função correspondente no reconhecimento de data center admin do MongoDB Server.

db.getSiblingDB("admin").createRole(
   {
     role: "CN=PrimaryApplication,CN=Users,DC=example,DC=com",
     privileges: [],
     roles: [
       { role: "readWrite", db: "PrimaryApplication" }
     ]
   }
)

Transição de usuários existentes do $external para o servidor ActiveDirectory

Se atualizar uma instalação existente com usuários configurados no reconhecimento de data center do $external , você deverá atender aos seguintes requisitos para cada usuário para garantir o acesso após configurar o MongoDB para autenticação e autorização do AD :

• O usuário tem um objeto de usuário correspondente no servidor AD .

• O usuário tem associação nos grupos apropriados no servidor AD .

• O MongoDB contém as roles no banco de dados admin nomeadas para os grupos AD do usuário, de modo que o usuário autorizado mantenha seus privilégios.

{
  user : "joe@ANALYTICS.EXAMPLE.COM",
  roles: [
    { role : "read", db : "web_analytics" },
    { role : "read", db : "PrimaryApplication" }
  ]
}

db.getSiblingDB("admin").createRole(
   {
     role: "CN=marketing,CN=Users,DC=example,DC=com",
     privileges: [],
     roles: [
       { role: "read", db: "web_analytics" }
       { role: "read", db: "PrimaryApplication" }
     ]
   }
)

Se você quiser continuar permitindo que usuários em reconhecimento de data center não$external acessem o MongoDB, inclua o mecanismo de autenticação SCRAM (por exemplo SCRAM-SHA-1 e/ou SCRAM-SHA-256) na opção de configuração setParameter authenticationMechanisms . Por exemplo:

setParameter:
  authenticationMechanisms: "PLAIN,SCRAM-SHA-1,SCRAM-SHA-256"

Como alternativa, faça a transição de usuários não$external para o AD seguindo o procedimento acima.