配置 MongoDB 身份验证和授权
您的MongoDB部署可以使用本页描述的访问权限控制机制。 您可以在添加部署时指定身份验证设置。 添加部署后,您可以编辑安全设置。
如果部署使用访问控制,则 MongoDB Agent 必须以具有适当访问权限的 MongoDB 用户身份向部署进行身份验证。通过 Ops Manager 应用程序启用和配置身份验证。
Considerations
启用访问控制后,必须创建 MongoDB 用户,这样客户端才能访问您的数据库。
当您启用访问控制时,Ops Manager 会自动为 MongoDB 助手创建用户。 MongoDB 助手可以管理其他用户。 因此,您创建的第一个用户可以具有任何角色。
当您为 Ops Manager 群组选择身份验证机制时,这将为 Ops Manager 群组中的所有部署启用访问控制。
注意
建议
为避免不一致,请使用 Ops Manager 界面管理 MongoDB 部署的用户和角色。
访问控制机制
SCRAM-SHA-1
和 SCRAM-SHA-256
MongoDB 支持以下挑战响应机制的实现,可以使用密码对用户进行身份验证。
在下表中,该版本系列的默认身份验证机制标有,可接受的身份验证机制标有。
MongoDB 版本系列 | |||
---|---|---|---|
5.x.x | |||
4.4.x | |||
4.2.x | |||
4.0.x | |||
3.6.x | |||
3.4.x |
要为 Ops Manager 项目启用SCRAM-SHA-1
或SCRAM-SHA-256
,请完成以下任务:
LDAP
MongoDB Enterprise 支持用户代理身份验证。这允许管理员配置 MongoDB 集群,通过将身份验证请求代理到指定 LDAP 服务来对用户进行身份验证。
要为 Ops Manager 项目启用LDAP ,请完成以下任务:
Kerberos
MongoDB Enterprise支持使用 Kerberos 服务进行身份验证。 Kerberos 是一项 IETF ( RFC4120 )适用于大型客户端/服务器系统的标准身份验证协议。
要将 MongoDB 与 Kerberos 结合使用,您必须正确配置 Kerberos 部署、为 MongoDB 配置 Kerberos 服务主体,并添加该 Kerberos 用户主体。
要为 Ops Manager 项目启用 Kerberos,请完成以下任务:
x.509
MongoDB 支持结合使用安全的 TLS 连接进行 X.509 证书身份验证。X.509 客户端身份验证允许客户端使用证书而不是用户名和密码向服务器进行身份验证。
要为 Ops Manager 项目启用 X.509 身份验证,请完成以下任务:
您还可以使用 X.509 证书对MongoDB Ops Manager监控的进程进行成员身份验证。
编辑主机凭证
您可以从 Ops Manager 界面将部署配置为使用身份验证机制。管理 MongoDB 用户和角色教程介绍了如何配置现有部署以使用每种身份验证机制。