为 Cloud Manager 项目启用 x.509 身份验证
Cloud Manager 使您能够配置所有客户端(包括 Cloud Manager 代理)用于连接到 MongoDB 部署的身份验证机制。您可以为每个项目启用多种身份验证机制,但必须为代理仅选择一种机制。
MongoDB 支持 x. 509客户端和成员证书身份验证,用于安全的 TLS/SSL 连接。 x。 509身份验证允许用户和其他成员使用证书而不是用户名和密码向服务器进行身份验证。
先决条件
步骤
这些过程描述了如何在使用自动化时配置和启用 x.509 身份验证。 如果 Cloud Manager不托管您的代理,您必须手动将其配置为使用 x.509 身份验证。
注意
要了解更多信息,请参阅为 X.509 身份验证配置 MongoDB Agent。
为 x.509 证书身份验证准备现有部署
重要
使用 x.509 客户端证书身份验证需要TLS / SSL 。 如果 Cloud Manager 托管一个或多个现有的 MongoDB 部署,则必须先在每个进程上启用TLS / SSL,然后才能启用 x.509 身份验证。
注意
如果已启用TLS / SSL ,则可以跳过此过程。
在 MongoDB Cloud Manager 中,转到项目的Deployment 页面。
如果尚未显示,请从导航栏的 Organizations 菜单中选择包含所需项目的组织。
如果尚未显示,请从导航栏的Projects菜单中选择所需的项目。
如果 Deployment(数据库部署)页面尚未出现,请单击侧边栏中的 Deployment(数据库)。
显示“部署”页面。
转到Processes 页面。
单击部署的Processes标签页。
显示“进程”页面。
设置 TLS / SSL 启动选项。
单击Add Option添加以下每个选项:
选项必需值必需选择requireTLS
。必需提供服务器证书的绝对路径。必需Optional如果要启用 FIPS 模式,请选择true
。添加每个选项后,单击Add 。
添加所需选项后,单击Save 。
为 x.509 成员证书身份验证配置现有部署
注意
此过程是可选的。 它还允许副本集或分片集群的成员使用 x.509 证书相互进行身份验证。 如果未配置,副本集和分片集群成员仍可使用keyFile
身份验证相互进行身份验证。
警告
此过程不可逆
如果为项目中的任何部署启用 x.509 成员证书身份验证,则无法为该部署禁用 x.509 成员证书身份验证,也无法在项目级别禁用 x.509 客户端身份验证。
为项目中的部署启用 x.509 成员证书身份验证不会为项目中的其他部署启用或要求 x.509 成员证书身份验证。 您可以选择启用项目中的每个其他部署以使用 x.509 成员证书身份验证。
在 MongoDB Cloud Manager 中,转到项目的Deployment 页面。
如果尚未显示,请从导航栏的 Organizations 菜单中选择包含所需项目的组织。
如果尚未显示,请从导航栏的Projects菜单中选择所需的项目。
如果 Deployment(数据库部署)页面尚未出现,请单击侧边栏中的 Deployment(数据库)。
显示“部署”页面。
转到Processes 页面。
单击部署的Processes标签页。
显示“进程”页面。
为每个部署的进程配置完TLS / SSL选项后,您可以继续为 Cloud Manager 项目启用 x.509 身份验证。
为 Cloud Manager 项目启用 x.509 客户端证书身份验证
在 MongoDB Cloud Manager 中,转到项目的Deployment 页面。
如果尚未显示,请从导航栏的 Organizations 菜单中选择包含所需项目的组织。
如果尚未显示,请从导航栏的Projects菜单中选择所需的项目。
如果 Deployment(数据库部署)页面尚未出现,请单击侧边栏中的 Deployment(数据库)。
显示“部署”页面。
转到Security 页面。
单击部署的Security标签页。
显示“安全”页面。
指定 TLS 设置。
字段 | 操作 |
---|---|
MongoDB 部署传输层安全 (TLS) | 将此滑块切换至 ON(开启)。 |
TLS CA 文件路径 | TLS 证书颁发机构文件是
在运行 MongoDB 进程的每个主机上键入 TLS 证书颁发机构文件的文件路径:
这将为项目中的 MongoDB 进程启用 单击 Validate(验证)测试部署中每个主机在您指定的路径上是否都有 TLS 证书颁发机构。 |
客户端证书模式 |
配置 LDAP 授权设置。
重要
从 MongoDB 3.4 开始,只要先启用 LDAP 授权,就可以使用 LDAP、Kerberos 和 X.509 证书对用户进行身份验证,而无需$external
数据库中的本地用户文档。 当此类用户成功进行身份验证时,MongoDB 会对 LDAP 服务器执行查询以检索该 LDAP 用户拥有的所有群组,并将这些群组转换为等效的 MongoDB 角色。
如果您不想启用 LDAP 授权,请跳过此步骤。
输入以下字段的值:
设置值LDAP Authorization切换到ON以启用 LDAP 授权。Authorization Query Template为 LDAP 查询 URL 指定模板,以检索 LDAP 用户的 LDAP 群组列表。
为助手配置 {{ Mechanism}} 。
您可以为 MongoDB 部署启用多种身份验证机制,但 Cloud Manager 助手只能使用一种身份验证机制。选择 {{ Mechanism}} 以连接到 MongoDB 部署。
从Agent Auth Mechanism部分选择 {{机制}} 选项。
为 MongoDB 助手提供档案:
设置值MongoDB Agent Username输入从代理的 PEM 密钥文件派生的 LDAPv3 标识名。MongoDB Agent Certificate File在相应操作系统的线路上提供代理的 PEM 密钥文件在服务器上的路径和文件名。MongoDB Agent Certificate Password如果 PEM 密钥文件已加密,请提供该文件的密码。
为 LDAP 群组创建 MongoDB 角色。 (可选)
启用 LDAP 授权后,您需要为指定用于 LDAP 授权的每个 LDAP 群组创建自定义 MongoDB 角色。