为 Ops Manager 项目启用 LDAP 身份验证
在此页面上
Ops Manager 允许您配置所有客户端(包括 Ops Manager 代理)用于连接到 MongoDB 部署的身份验证机制。 您可以为每个项目启用多种身份验证机制,但必须为代理仅选择一种机制。
MongoDB Enterprise 支持通过轻型目录访问协议 (LDAP) 服务转发身份验证请求。
LDAP
仅适用于MongoDB Enterprise版本。 如果您有在MongoDB Community构建上运行的现有部署,则必须先将其升级到MongoDB Enterprise ,然后才能为MongoDB Ops Manager项目启用LDAP
。
Considerations
MongoDB Enterprise 支持通过saslauthd
和操作系统库以简单 SASL 方式绑定到轻量级目录访问协议 (LDAP) 服务器:
MongoDB Enterprise for Linux 可以通过
saslauthd
绑定到 LDAP 服务器,或者(从 MongoDB 3.4 开始)通过操作系统库绑定到 LDAP 服务器。从 MongoDB 版本 3.4 开始,MongoDB Enterprise for Windows 可以通过操作系统库绑定到 LDAP 服务器。
MongoDB 手册中的LDAP 代理身份验证和LDAP 授权部分提供了有关 LDAP 和 MongoDB 的更多信息。 设置 LDAP 和 SASL 超出了本文档的范围。
步骤
此操作步骤介绍如何在使用自动化时配置和启用 LDAP 身份验证。 如果 Ops Manager 不托管监控或备份,您必须手动将其配置为使用 LDAP 。 要配置LDAP ,请参阅为 LDAP 配置 MongoDB 助手
注意
如果要重置项目的身份验证和 TLS 设置,请先取消 Ops Manager 在项目中托管的任何 MongoDB 部署。
可选:指定 TLS 设置。
字段 | 操作 |
---|---|
MongoDB 部署传输层安全 (TLS) | 将此滑块切换至 ON(开启)。 |
TLS CA 文件路径 | TLS 证书颁发机构文件是
在运行 MongoDB 进程的每个主机上键入 TLS 证书颁发机构文件的文件路径:
这将为项目中的 MongoDB 进程启用 单击 Validate(验证)测试部署中每个主机在您指定的路径上是否都有 TLS 证书颁发机构。 |
客户端证书模式 |
警告
建议将 TLS(安全传输层)/SSL(安全套接层)与 LDAP(轻量级目录访问协议)结合使用
默认情况下, LDAP流量以纯文本形式发送。 这意味着凭证(用户名和密码)会受到基本网络威胁,例如嗅探器和重放。 使用LDAPS ( LDAP over TLS / SSL ) 对身份验证进行加密。 许多现代目录服务(例如 Active Directory)都需要加密连接。
选择身份验证机制。
在 MongoDB Agent Connections to Deployment 部分,选择 LDAP。
选择适当的LDAP身份验证类型。
重要
如果您使用 LDAP 授权,则必须选择Native LDAP Authentication 。
如果您不使用 LDAP 授权,则必须将用户添加到 MongoDB 部署中的
$external
数据库。 有关示例,请参阅LDAP 身份验证。
配置 LDAP 授权设置。 (可选)
重要
从 MongoDB 3.4 开始,只要先启用 LDAP 授权,就可以使用 LDAP、Kerberos 或 X.509 证书对用户进行身份验证,而无需$external
数据库中的本地用户文档。 当此类用户成功进行身份验证时,MongoDB 会对 LDAP 服务器执行查询以检索该 LDAP 用户拥有的所有群组,并将这些群组转换为等效的 MongoDB 角色。
应用这些更改时, MongoDB进程会以滚动方式重新启动。
如果您在上一步中选择了Saslauthd ,请跳过此步骤。
如果选择了Native LDAP Authentication ,请完成以下步骤:
提供以下值:
设置值服务器 URL指定一个或多个 LDAP 服务器的hostname:port
组合。transportSecurity选择TLS
加密 LDAP 查询。 如果您不需要加密 LDAP 查询,请选择None
。超时(毫秒)指定身份验证请求在超时之前应等待的时间。绑定方法选择
SASL
或Simple
。重要
如果您选择
Simple
绑定方法,请从Transport Security中选择TLS
,因为Simple
绑定方法以纯文本形式传递密码。SASL 机制指定 MongoDB 在 LDAP 服务器中使用哪种 SASL 身份验证服务。查询用户(LDAP 绑定 标识名)指定连接到 LDAP 服务器时 MongoDB 绑定到的 LDAP 标识名。查询密码(LDAP 绑定 标识名)指定连接到 LDAP 服务器时 MongoDB 绑定的密码。LDAP 用户缓存失效间隔指定 MongoDB 等待刷新 LDAP 用户缓存的时间。 默认为30
秒。用户到标识名的映射指定 JSON 文档数组,这些文档提供 MongoDB 对经过身份验证的 MongoDB 用户名执行的有序转换。 然后,MongoDB 将转换后的用户名与 LDAP DN 进行匹配。验证 LDAP 服务器配置选择
ON
验证 LDAP 服务器配置,或选择OFF
跳过验证。如果为
ON
且配置无效,则 MongoDB 部署将不会启动。在LDAP Authorization部分中,输入以下字段的值:
设置值LDAP Authorization切换到ON以启用 LDAP 授权。Authorization Query Template为 LDAP 查询 URL 指定模板,以检索 LDAP 用户的 LDAP 群组列表。User to Distinguished Name Mapping指定 JSON 文档数组,这些文档提供 MongoDB 对经过身份验证的 MongoDB 用户名执行的有序转换。 然后,MongoDB 将转换后的用户名与 LDAP DN 进行匹配。
为 LDAP 群组创建 MongoDB 角色。 (可选)
启用 LDAP 授权后,您需要为指定用于 LDAP 授权的每个 LDAP 群组创建自定义 MongoDB 角色。