企业身份验证机制
Overview
MongoDB Enterprise Edition 包含MongoDB Community Edition中不提供的身份验证机制。 在本指南中,您可以学习;了解如何使用这些身份验证机制对MongoDB进行身份验证。 要学习;了解MongoDB中提供的其他身份验证机制,请参阅身份验证机制。
Kerberos
通用安全服务API (GSSAPI) 为Kerberos身份验证提供接口。
注意
要使用 GSSAPI 进行身份验证,您必须构建支持SASL 的MongoDB C驾驶员。 如果从源代码构建驾驶员,则可以使用 ENABLE_SASL cmake选项启用SASL支持。
请完成以下步骤,使用 GSSAPI 进行身份验证:
获取票证授予票证
在 Unix 环境中,必须首先运行kinit命令来获取并缓存初始票证授予票证。 如果您运行的是Windows环境,则可以跳到下一步。
以下示例使用kinit命令获取主体mongodbuser@EXAMPLE.COM的票证授予票证。 然后,它使用klist命令显示凭证缓存中的主体和票证。
kinit mongodbuser@EXAMPLE.COM mongodbuser@EXAMPLE.COM's Password: klist Credentials cache: FILE:/tmp/krb5cc_1000 Principal: mongodbuser@EXAMPLE.COM Issued Expires Principal Feb 9 13:48:51 2013 Feb 9 23:48:51 2013 krbtgt/mongodbuser@EXAMPLE.COM
设置连接选项
接下来,设立以下连接选项:
username:要进行身份验证的 Kerbos 主体。authMechanism:设置为"GSSAPI"。authMechanismProperties:可选。 默认, MongoDB使用mongodb作为身份验证服务名称。 要指定不同的服务名称,请将此选项设立为"SERVICE_NAME:<authentication service name>"。
您可以通过连接 URI 中的参数设立这些选项,如以下示例所示:
const char *uri = "mongodb://mongodbuser%40EXAMPLE.COM@<hostname>:<port>/?authMechanism=GSSAPI&authMechanismProperties=SERVICE_NAME:<authentication service name>"); mongoc_client_t *client = mongoc_client_new(uri);
注意
您必须将主体中的@符号替换为%40 ,如前面的示例所示。
PLAIN SASL
PLAIN 简单身份验证和安全层 (SASL) 由 RFC4616 定义,是一种用户名-密码身份验证机制,通常与 TLS 或其他加密层一起使用。必须编译支持SASL 的C驾驶员才能使用 PLAIN SASL身份验证。
重要
PLAIN SASL 是一种明文身份验证机制。 在使用 PLAIN SASL 对 MongoDB 进行身份验证时,强烈建议您将 TLS/SSL 与证书验证结合使用。
要使用 SASL 进行身份验证,请将authMechanism连接选项设立为PLAIN 。 您可以通过连接string中的参数设立此选项,如以下示例所示:
const char *uri = "mongodb://<username>:<password>@<hostname>:<port>/?authMechanism=PLAIN"); mongoc_client_t *client = mongoc_client_new(uri);
API 文档
要学习;了解有关在C驾驶员程序中对应用程序进行身份验证的更多信息,请参阅以下API文档: