配置 MongoDB 身份验证和授权
您的 MongoDB 部署可以使用本页描述的访问控制机制。您可以在添加部署时指定身份验证设置。添加部署后,您可以编辑安全设置。
如果部署使用访问控制,则 MongoDB 助手必须以具有适当访问权限的 MongoDB 用户身份向部署进行身份验证。通过 Cloud Manager 启用和配置身份验证。
Considerations
启用访问控制后,必须创建 MongoDB 用户,这样客户端才能访问您的数据库。
启用访问控制时,Cloud Manager 会自动为 MongoDB Agent 创建用户。MongoDB Agent 可以管理其他用户。因此,创建的第一个用户可以拥有任何角色。
当您为 Cloud Manager 群组选择身份验证机制时,这将为 Cloud Manager 群组中的所有部署启用访问控制。
注意
建议
为避免不一致,请使用 Cloud Manager 界面管理 MongoDB 部署的用户和角色。
访问控制机制
SCRAM-SHA-1 和 SCRAM-SHA-256
MongoDB 支持以下挑战响应机制的实现,可以使用密码对用户进行身份验证。
在下表中,该版本系列的默认身份验证机制标有,可接受的身份验证机制标有。
MongoDB 版本系列 | |||
|---|---|---|---|
5.x.x | |||
4.4.x | |||
4.2.x | |||
4.0.x | |||
3.6.x | |||
3.4.x |
要为 Cloud Manager 项目启用 SCRAM-SHA-1 或 SCRAM-SHA-256,请完成以下任务:
LDAP
MongoDB Enterprise 支持用户代理身份验证。这允许管理员配置 MongoDB 集群,通过将身份验证请求代理到指定 LDAP 服务来对用户进行身份验证。
要为 Cloud Manager 项目启用 LDAP,请完成以下任务:
OIDC
MongoDB Enterprise支持使用 OIDC 进行身份验证。 使用 OIDC 进行身份验证 ,您必须首先向支持 OIDC 标准的 IdP 注册您的 OIDC 或 OAuth 应用程序,例如 Microsoft Entra ID、Okta 和 Ping Identity。
要为 Cloud Manager 项目启用 OIDC,请为 Cloud Manager 项目启用 OIDC 身份验证。
Kerberos
MongoDB Enterprise支持使用 Kerberos 服务进行身份验证。 Kerberos 是一项 IETF ( RFC4120 )适用于大型客户端/服务器系统的标准身份验证协议。
要将 MongoDB 与 Kerberos 结合使用,您必须正确配置 Kerberos 部署、为 MongoDB 配置 Kerberos 服务主体,并添加该 Kerberos 用户主体。
要为 Cloud Manager 项目启用 Kerberos,请完成以下任务:
x.509
MongoDB 支持结合使用安全的 TLS 连接进行 X.509 证书身份验证。X.509 客户端身份验证允许客户端使用证书而不是用户名和密码向服务器进行身份验证。
要为 Cloud Manager 项目启用 X.509 身份验证,请完成以下任务:
编辑主机凭证
您可以将部署配置为使用 Cloud Manager 界面中的身份验证机制。管理 MongoDB 用户和角色教程介绍如何配置现有部署,从而使用每种身份验证机制。