为 Cloud Manager 项目启用 LDAP 身份验证

在此页面上

Considerations

步骤

2024 年 8 月 30 日以后，Cloud Manager 将不再支持 MongoDB 3.6 和 4.0 的自动化、备份和监控。请升级您的 MongoDB 部署或迁移到 Atlas。

用于以编程访问权限Cloud Manager的 OAuth 2.0身份验证作为预览功能。: 在预览期间，功能和相应的文档可能随时更改。要使用 OAuth2.0 身份验证，请创建一个服务帐户，以便在向Cloud Manager Public API发出的请求中使用。

注意

从MongoDB 8.0开始， LDAP身份验证和授权已弃用。该功能可用，并将在MongoDB 8的整个生命周期内继续运行，无需进行任何更改。 LDAP将在未来的主要发布中删除。

有关详细信息，请参阅 LDAP 弃用。

Cloud Manager 使您能够配置所有客户端（包括 Cloud Manager 代理）用于连接到 MongoDB 部署的身份验证机制。您可以为每个项目启用多种身份验证机制，但必须为代理仅选择一种机制。

MongoDB Enterprise 支持通过轻型目录访问协议 (LDAP) 服务转发身份验证请求。

LDAP 仅适用于 MongoDB Enterprise 版本。如果您有在 MongoDB Community 版本上运行的现有部署，则必须将其升级到 MongoDB Enterprise ，然后才能为 Cloud Manager 项目启用LDAP 。

Considerations

MongoDB Enterprise 支持通过saslauthd和操作系统库以简单 SASL 方式绑定到轻量级目录访问协议 (LDAP) 服务器：

MongoDB Enterprise for Linux 可以通过saslauthd绑定到 LDAP 服务器，或者（从 MongoDB 3.4 开始）通过操作系统库绑定到 LDAP 服务器。
从 MongoDB 版本 3.4 开始，MongoDB Enterprise for Windows 可以通过操作系统库绑定到 LDAP 服务器。

MongoDB 手册中的LDAP 代理身份验证和LDAP 授权部分提供了有关 LDAP 和 MongoDB 的更多信息。设置 LDAP 和 SASL 超出了本文档的范围。

步骤

此操作步骤介绍如何在使用自动化时配置和启用LDAP身份验证。如果Cloud Manager不管理“监控”或“备份”，您必须手动将其配置为使用LDAP 。要配置LDAP ，请参阅为配置MongoDB AgentLDAP

注意

如果您想为项目重置身份验证和 TLS 设置，请先取消管理所有 MongoDB 部署，并且 Cloud Manager 在您的项目中管理这些部署。

MongoDB Cloud ManagerGoDeployment在MongoDB Cloud Manager中，Go项目的页面。

如果尚未显示，请从导航栏的 Organizations 菜单中选择包含所需项目的组织。
如果尚未显示，请从导航栏的Projects菜单中选择所需的项目。
如果 Deployment（数据库部署）页面尚未出现，请单击侧边栏中的 Deployment（数据库）。
显示“部署”页面。

转到 Security（快速入门）页面。

单击部署的Security标签页。

显示“安全”页面。

Go部署的Security Settings 对话框。

执行以下操作之一：

如果这是您第一次为此项目配置 TLS、身份验证或授权设置，请单击 Get Started（开始使用）。
如果已经为此项目配置 TLS 身份验证或授权设置，请单击 Edit（编辑）。

指定 TLS 设置。

字段

操作

MongoDB 部署传输层安全 (TLS)

将此滑块切换至 ON（开启）。

TLS CA 文件路径

TLS 证书颁发机构文件是 .pem 格式的证书文件，其中包含来自证书颁发机构的根证书链。MongoDB 助手使用相同的证书颁发机构文件连接到部署中的每个项目。

.pem证书文件的加密私钥必须采用 PKCS #1 格式格式。MongoDB Agent不支持 PKCS #8 格式。

在运行 MongoDB 进程的每个主机上键入 TLS 证书颁发机构文件的文件路径：

在第一个框中键入所有 Linux 主机上的文件路径。
在第二个框中键入所有 Windows 主机上的文件路径。

这将为项目中的 MongoDB 进程启用net.tls.CAFile设置。

单击 Validate（验证）测试部署中每个主机在您指定的路径上是否都有 TLS 证书颁发机构。

客户端证书模式

选择在连接到启用 TLS 的 MongoDB 部署时客户端应用程序或 MongoDB 助手是否必须提供 TLS 证书。每个 MongoDB 部署都会在这些客户端主机尝试连接时检查来自这些客户端主机的证书。如果选择要求客户端 TLS 证书，请确保它们有效。

接受的值为：

Optional	连接到 MongoDB 部署时，每个客户端都可以提供有效的TLS证书。如果您不将`mongodtlsMode` 设置为，MongoDB 助手可能会使用 TLS`None` 证书。
必需	此项目中的每个 MongoDB 部署都从 TLS 加密的网络连接开始。所有助手都必须使用 TLS 连接到任何 MongoDB 部署。

选择身份验证机制。

配置 LDAP 授权设置。（可选）

重要

从 MongoDB 3.4 开始，只要先启用 LDAP 授权，就可以使用 LDAP、Kerberos 或 X.509 证书对用户进行身份验证，而无需$external数据库中的本地用户文档。当此类用户成功进行身份验证时，MongoDB 会对 LDAP 服务器执行查询以检索该 LDAP 用户拥有的所有群组，并将这些群组转换为等效的 MongoDB 角色。

如果您在上一步中选择了Saslauthd ，请跳过此步骤。

如果选择了Native LDAP Authentication ，请完成以下步骤：

提供以下值：

设置	值
服务器 URL	指定一个或多个 LDAP 服务器的`hostname:port`组合。
transportSecurity	选择`TLS`加密 LDAP 查询。如果您不需要加密 LDAP 查询，请选择`None` 。
超时（毫秒）	指定身份验证请求在超时之前应等待的时间。
绑定方法	选择`SASL`或`Simple` 。重要提示：如果您选择`Simple`绑定方法，请从Transport Security中选择`TLS` ，因为`Simple`绑定方法以纯文本形式传递密码。
SASL 机制	指定 MongoDB 在 LDAP 服务器中使用哪种 SASL 身份验证服务。
查询用户（LDAP 绑定标识名）	指定连接到 LDAP 服务器时 MongoDB 绑定到的 LDAP 标识名。
查询密码（LDAP 绑定标识名）	指定连接到 LDAP 服务器时 MongoDB 绑定的密码。
LDAP 用户缓存失效间隔	指定 MongoDB 等待刷新 LDAP 用户缓存的时间。默认为`30`秒。
用户到标识名的映射	指定 JSON 文档数组，这些文档提供 MongoDB 对经过身份验证的 MongoDB 用户名执行的有序转换。然后，MongoDB 将转换后的用户名与 LDAP DN 进行匹配。
验证 LDAP 服务器配置	选择`ON`验证 LDAP 服务器配置，或选择`OFF`跳过验证。如果为`ON`且配置无效，则 MongoDB 部署将不会启动。

在LDAP Authorization部分中，输入以下字段的值：

设置	值
LDAP Authorization	切换到ON以启用 LDAP 授权。
Authorization Query Template	为 LDAP 查询 URL 指定模板，以检索 LDAP 用户的 LDAP 群组列表。
User to Distinguished Name Mapping	指定 JSON 文档数组，这些文档提供 MongoDB 对经过身份验证的 MongoDB 用户名执行的有序转换。然后，MongoDB 将转换后的用户名与 LDAP DN 进行匹配。

配置助手以使用 {{ Mechanism}} 连接到MongoDB 部署。

注意

记住

Cloud Manager 限制代理在每个部署中只能使用一种机制。

从Agent Auth Mechanism部分选择 {{机制}} 选项。

为 MongoDB 助手提供档案：

设置	值
MongoDB Agent Username	输入LDAP用户名。
MongoDB Agent Password	输入助手的LDAP用户名密码。
MongoDB Agent LDAP Group 标识名	如果已启用 LDAP 授权，请输入 MongoDB Agent 用户所属群组的标识名。

单击 Save Settings（保存并关闭）。

单击Review & Deploy 查看更改。

单击Confirm & Deploy 以部署更改。

否则，请单击 Cancel，您可以进行其他更改。

为 LDAP 群组创建 MongoDB 角色。（可选）

启用 LDAP 授权后，您需要为指定用于 LDAP 授权的每个 LDAP 群组创建自定义 MongoDB 角色。

后退

使用用户名/密码

来年

Use Kerberos

注意