Docs 菜单
Docs 主页
/
MongoDB Ops Manager
/
安全性
/
通过身份验证确保安全

为您的 Ops Manager 项目启用用户名和密码身份验证

在此页面上

  • Overview
  • Considerations
  • 步骤

Overview

Ops Manager 允许您配置所有客户端(包括 Ops Manager 代理)用于连接到 MongoDB 部署的身份验证机制。 您可以为每个项目启用多种身份验证机制,但必须为代理仅选择一种机制。

MongoDB 用户可以使用用户名和密码根据 MongoDB 数据库对自己进行身份验证。

MongoDB 版本
默认身份验证机制
MongoDB 4.0 及更高版本
使用 SHA-1 和 SHA-256 哈希算法(SCRAM-SHA-1SCRAM-SHA-256)的 Salted 挑战响应身份验证机制 (SCRAM)。
MongoDB 3.4 至 3.6
使用 SHA-1 哈希算法 (SCRAM-SHA-1) 的 Salted 挑战响应身份验证机制 (SCRAM)。

SCRAM-SHA-1SCRAM-SHA-256

SCRAM-SHA-1 RFC5802 )和 SCRAM-SHA-256 RFC7677 )是 IETF 标准,定义了实施使用密码对用户进行身份验证的质询-响应机制的最佳实践方法。

SCRAM-SHA-1SCRAM-SHA-256 使用用户名、密码和身份验证数据库验证提供的用户凭证。身份验证数据库是创建用户的数据库。

Considerations

本教程介绍如何为 Ops Manager MongoDB 部署启用用户名和密码身份验证。

注意

MongoDB Community 版本支持用户名和密码身份验证以及 x.509 身份验证。

注意

如果要 重置项目的 身份验证和 TLS MongoDB设置 ,请先取消管理MongoDB Ops Manager 在项目中 管理的任何 部署 。

步骤

此操作步骤介绍如何在使用自动化时配置和启用用户名和密码身份验证。 如果 Ops Manager 不托管您的 MongoDB 代理,您必须手动将其配置为使用用户名和密码。要了解如何配置身份验证,请参阅为身份验证配置 MongoDB Agent。

注意

如果将 Ops Manager 应用程序配置为使用 SCRAM-SHA-256 进行身份验证,则无法部署 4.0 之前的版本 MongoDB 集群。

1

Security Settings导航至部署的 对话框。

  1. 如果尚未显示,请从导航栏的 Organizations 菜单中选择包含所需项目的组织。

  2. 如果尚未显示该页,请从导航栏的 Projects(项目)菜单中选择所需的项目。

  3. 如果尚未出现,请单击侧边栏中的 Deployment(部署)。

  1. 单击 Security 标签页。

  2. 单击 Settings 标签页。

  3. 执行以下操作之一:

    • 如果这是您第一次为此项目配置 TLS、身份验证或授权设置,请单击 Get Started(开始使用)。

    • 如果已经为此项目配置 TLS 身份验证或授权设置,请单击 Edit(编辑)。

2

可选:指定 TLS 设置。

不需要 TLS 可与 Username/Password (SCRAM-SHA-256)(用户名/密码 (MONGODB-CR/SCRAM-SHA-1))或 {2}((用户名/密码 (SCRAM-SHA-256)))身份验证一起使用。

字段
操作
MongoDB 部署传输层安全 (TLS)
将此滑块切换至 ON(开启)。
TLS CA 文件路径

TLS 证书颁发机构文件是 .pem 格式的证书文件,其中包含来自证书颁发机构的根证书链。MongoDB 助手使用相同的证书颁发机构文件连接到部署中的每个项目。

.pem证书文件的加密私钥必须采用 PKCS #1 格式。MongoDB Agent不支持 PKCS #8 格式。

在运行 MongoDB 进程的每个主机上键入 TLS 证书颁发机构文件的文件路径:

  • 在第一个框中键入所有 Linux 主机上的文件路径。

  • 在第二个框中键入所有 Windows 主机上的文件路径。

这将为项目中的 MongoDB 进程启用net.tls.CAFile设置。

单击 Validate(验证)测试部署中每个主机在您指定的路径上是否都有 TLS 证书颁发机构。

集群 TLS CA 文件路径

包含来自证书授权机构的根证书链的 .pem 文件,用于验证建立连接的客户端提供的证书。使用相对或绝对路径指定 .pem 文件的文件名。net.tls.clusterCAFile 要求设置 net.tls.CAFile

如果不指定net.tls.clusterCAFile ,集群将使用net.tls.CAFile选项中指定的.pem文件。

net.tls.clusterCAFile 允许您使用单独的证书颁发机构来验证 TLS 握手的客户端到服务器和服务器到客户端部分。

客户端证书模式

选择在连接到启用 TLS 的 MongoDB 部署时客户端应用程序或 MongoDB 助手是否必须提供 TLS 证书。每个 MongoDB 部署都会在这些客户端主机尝试连接时检查来自这些客户端主机的证书。如果选择要求客户端 TLS 证书,请确保它们有效。

接受的值为:

Optional
连接到 MongoDB 部署时,每个客户端都可以提供有效的TLS证书。 如果您mongodtlsMode 设置为 ,MongoDB 助手可能会使用 TLSNone 证书。
必需
此项目中的每个 MongoDB 部署都从 TLS 加密的网络连接开始。所有助手都必须使用 TLS 连接到任何 MongoDB 部署。
3

选择身份验证机制。

MongoDB Deployment Authentication Mechanism(MongoDB 部署身份验证机制)部分中,选择 Username/Password (MONGODB-CR/SCRAM-SHA-1)(用户名/密码 (MONGODB-CR/SCRAM-SHA-1))或 Username/Password (SCRAM-SHA-256)((用户名/密码 (SCRAM-SHA-256)))。

4

Username/Password (MONGODB-CR/SCRAM-SHA-1)Username/Password (SCRAM-SHA-256)为代理配置 或 。

您可以为 MongoDB 部署启用多种身份验证机制,但 Ops Manager 代理只能使用一种身份验证机制。

MongoDB Agent Connections to Deployment(MongoDB 助手连接到部署)部分中,选择 Username/Password (MONGODB-CR/SCRAM-SHA-1)(用户名/密码 (MONGODB-CR/SCRAM-SHA-1))和/或 Username/Password (SCRAM-SHA-256)(用户名/密码 (SCRAM-SHA-256))。

Ops Manager 自动生成代理的用户名和密码。

Ops Manager 在 Ops Manager 中每个现有部署的管理员数据库中为具有所需角色的代理创建用户。添加新部署时,Ops Manager 会在新部署中创建所需的用户。

5

单击 Save Settings(保存并关闭)。

6

单击Review & Deploy 查看更改。

7

单击Confirm & Deploy 以部署更改。

否则,请单击 Cancel,您可以进行其他更改。

后退

Overview

来年

LDAP