Docs 菜单
Docs 主页
/
MongoDB Ops Manager
/
安全性
/
通过身份验证确保安全
/
管理用户和角色

托管 MongoDB 用户

在此页面上

  • Considerations
  • 添加一个 MongoDB 用户
  • 编辑一个 MongoDB 用户详细信息
  • 管理或取消管理 MongoDB 用户
  • 删除 MongoDB 用户

当您为 Ops Manager 项目选择身份验证机制时,这将为 Ops Manager 项目中的所有托管部署启用访问控制。

启用访问权限控制后,客户端必须以MongoDB用户的身份向MongoDB进程进行身份验证。 完成身份验证后,这些用户仅具有分配的角色授予的权限。 您可以将 MongoDB 的内置角色以及自定义角色分配给用户。

您可以在启用访问控制之前或之后创建 MongoDB 用户,但如果未启用访问控制,您的 MongoDB 实例不需要用户凭据。

重要

MongoDB 用户与 Ops Manager用户是分开的。 MongoDB 用户可以访问 MongoDB 数据库,而 Ops Manager 用户可以访问 Ops Manager 应用程序本身。

Considerations

托管用户和角色

您选择在 Ops Manager 项目中管理的任何用户或角色的 Synced值设置为 Yes ,并同步到项目中的所有部署。

您未选择在 Ops Manager 项目中托管的任何用户或角色的Synced值设置为No ,并且仅存在于各自的 MongoDB 部署中。

注意

如果您在导入后将Synced切换为OFF ,您创建的任何用户或角色都将被删除。

一致的用户和角色

如果您在项目中实施一组一致的用户和角色,Ops Manager 将在该项目的所有部署中同步这些用户和角色。切换Enforce Consistent Set以选择是否托管一组用户和角色:

Enforce Consistent Set is YES

在一个托管的项目中,Ops Manager 会授予所有用户和角色对所有部署的访问权限。Ops Manager 项目托管的所有部署都具有相同的 MongoDB 用户和角色集。

Ops Manager 会限制将Synced设置为Yes的用户和角色的访问权限。Ops Manager 会从项目的部署中删除 Ops Manager 项目未托管的所有用户和角色。

Enforce Consistent Set is NO

在托管项目中,Ops Manager 允许每个部署使用自己的一组 MongoDB 用户和角色。Ops Manager 不需要托管这些 MongoDB 用户和角色。要托管这些用户和角色,您必须直接连接到 MongoDB 部署。

Ops Manager 向您将Synced设置为Yes的托管 MongoDB 用户和角色授予所有托管部署的访问权限。

Ops Manager 将非托管 MongoDB 用户和角色(您将Synced设置为No )的访问权限限制为这些用户和角色的特定部署。

注意

Enforce Consistent Set 默认值为 NO

要了解导入 MongoDB 部署对用户和角色管理有何影响,请参阅导入时的自动化和更新的安全设置。

添加一个 MongoDB 用户

注意

Ops Manager 对用户档案使用默认哈希迭代

当您通过MongoDB 创建MongoDB Ops Manager 用户时,它会使用SCRAM-SHA-1 (10 ,000 ) 和SCRAM-SHA-256 (15 ,000 ) 的默认迭代次数对用户凭证进行哈希处理。如果要使用不同的值,请直接在 MongoDB 中创建用户。

1

导航至MongoDB Users 标签页进行部署。

  1. 如果尚未显示,请从导航栏的 Organizations 菜单中选择包含所需项目的组织。

  2. 如果尚未显示该页,请从导航栏的 Projects(项目)菜单中选择所需的项目。

  3. 如果尚未出现,请单击侧边栏中的 Deployment(部署)。

  1. 单击 Security 标签页。

  2. 单击 MongoDB Users(连接)。

2

单击 Add New User(创建集合)按钮。

3

填写用户帐户字段。

字段
说明
Identifier

  • 在第一个字段中,输入用户进行身份验证所使用的数据库。

  • 在第二个字段中,输入该数据库的用户名。

数据库和用户名共同唯一标识用户。 虽然该用户只有一个身份验证数据库,但该用户可以在其他数据库上拥有权限。您可以在分配用户角色时授予这些权限。

如果您使用外部系统(例如 Kerberos 或 LDAP 服务器)进行身份验证,请将用户添加到$external数据库。

Roles
在此框中输入任何可用的用户定义角色和内置角色。 单击该组合框会提供现有角色的列表。
Password

输入用户密码。

重要

如果您在Identifier中将$external指定为数据库,则无需为新用户指定密码。

Authentication Restrictions

  1. 单击 Add Entry(连接)。

  2. Client SourceServer Address框中添加一个或多个 IP地址和/或CIDR区块。 用逗号分隔多个地址或区块。

    • Client Source 限制此用户可以进行身份验证并使用给定角色的地址。

    • Server Address 限制该用户可以进行身份验证的地址并具有给定的角色。

  3. 单击 Save(连接)。

  4. 要添加其他条目,请单击Add Entry

4

单击 Add User(保存并关闭)。

5

单击Review & Deploy 查看更改。

6

单击Confirm & Deploy 以部署更改。

否则,请单击 Cancel,您可以进行其他更改。

编辑一个 MongoDB 用户详细信息

注意

Ops Manager 对用户档案使用默认哈希迭代

当您通过MongoDB 编辑MongoDB Ops Manager 用户时,它会使用SCRAM-SHA-1 (10 ,000 ) 和SCRAM-SHA-256 (15 ,000 ) 的默认迭代次数对用户凭证进行哈希处理。如果要使用不同的值,请直接在 MongoDB 中更新用户。

1

导航至MongoDB Users 标签页进行部署。

  1. 如果尚未显示,请从导航栏的 Organizations 菜单中选择包含所需项目的组织。

  2. 如果尚未显示该页,请从导航栏的 Projects(项目)菜单中选择所需的项目。

  3. 如果尚未出现,请单击侧边栏中的 Deployment(部署)。

  1. 单击 Security 标签页。

  2. 单击 MongoDB Users(连接)。

2

Edit单击要修改的用户旁边的 。

3

编辑用户信息。

字段
说明
Identifier
这些值无法编辑。
Roles

在此框中输入任何可用的用户定义角色和内置角色。 单击该组合框会提供现有角色的列表。

要删除角色,请单击该角色左侧的x

Password

输入用户密码。

重要

如果您在Identifier中将$external指定为数据库,则无需更改此值。

Authentication Restrictions

添加身份验证限制:

  1. 单击 Add Entry(连接)。

  2. Client SourceServer Address框中添加一个或多个IP地址或CIDR块。 用逗号分隔多个地址或区块。

    • Client Source 限制此用户可以进行身份验证并使用给定角色的地址。

    • Server Address 限制该用户可以进行身份验证的地址并具有给定的角色。

  3. 单击 Save(连接)。

  4. 要添加其他条目,请单击Add Entry

要删除身份验证限制,请执行以下操作:

  1. 单击身份验证限制右侧的x

4

单击 Save Changes(保存并关闭)。

5

单击Review & Deploy 查看更改。

6

单击Confirm & Deploy 以部署更改。

否则,请单击 Cancel,您可以进行其他更改。

管理或取消管理 MongoDB 用户

1

导航至MongoDB Users 标签页进行部署。

  1. 如果尚未显示,请从导航栏的 Organizations 菜单中选择包含所需项目的组织。

  2. 如果尚未显示该页,请从导航栏的 Projects(项目)菜单中选择所需的项目。

  3. 如果尚未出现,请单击侧边栏中的 Deployment(部署)。

  1. 单击 Security 标签页。

  2. 单击 MongoDB Users(连接)。

2

单击Refresh 以发现部署中的所有非托管用户。

这会显示 Ops Manager 项目的所有托管部署中存在的所有 MongoDB 用户以及任何潜在冲突。

3

选择要托管或取消托管的用户。

将您希望 Ops Manager 托管的每个 MongoDB 用户的Sync开关设置为Yes 。要托管 Ops Manager 项目的所有 MongoDB 用户,请单击Sync All链接。

Sync开关设置为No以取消管理 MongoDB 用户。

当前同步状态
新同步状态
变更内容
NO
YES

Ops Manager 现在开始托管用户。

如果与其他已发现的用户存在任何潜在冲突, MongoDB Ops Manager会为您提供解决冲突的选项。

YES
NO

Ops Manager 不再托管该用户。

警告: 如果Ensure Consistent SetYES ,MongoDB Ops Manager 会从MongoDB MongoDB Ops Manager当前为此项目管理的所有 数据库中删除该用户。

如果 Ensure Consistent SetNO,则MongoDB Ops Manager不再管理该MongoDB数据库中的用户,但您可以通过与该数据库的直接连接来管理这些用户。

4

单击Review & Deploy 查看更改。

5

单击Confirm & Deploy 以部署更改。

否则,请单击 Cancel,您可以进行其他更改。

6

单击Refresh ,验证所需用户是否已从部署中删除。

删除 MongoDB 用户

以下过程将从项目的所有托管 MongoDB 部署中删除 MongoDB 用户。 另请参阅管理或取消管理 MongoDB 用户。

1

导航至MongoDB Users 标签页进行部署。

  1. 如果尚未显示,请从导航栏的 Organizations 菜单中选择包含所需项目的组织。

  2. 如果尚未显示该页,请从导航栏的 Projects(项目)菜单中选择所需的项目。

  3. 如果尚未出现,请单击侧边栏中的 Deployment(部署)。

  1. 单击 Security 标签页。

  2. 单击 MongoDB Users(连接)。

2

Ensure Consistent Set(数据浏览器)切换设置为 YES(关)。

3

Sync将要删除的用户的 设置为OFF

4

Delete单击要删除的用户旁边的 。

5

单击Review & Deploy 查看更改。

6

单击Confirm & Deploy 以部署更改。

否则,请单击 Cancel,您可以进行其他更改。

7

单击Refresh ,验证所需用户是否已从部署中删除。

后退

管理用户和角色

来年

自定义角色