使用 SCRAM 对自管理部署上的客户端进行身份验证

在没有访问控制的情况下启动 MongoDB

在没有访问控制的情况下，启动独立运行的 mongod 实例。

打开终端并以 mongod 用户的身份运行以下命令：

mongod --port 27017 --dbpath /var/lib/mongodb

本教程中的 mongod 实例使用 port 27017 和 /var/lib/mongodb 数据目录。

本教程假定 /var/lib/mongodb 目录已存在，并且是默认的 dbPath。您可以根据需要指定其他数据目录或端口。

连接到实例

打开新终端并使用 mongosh连接到集群：

mongosh --port 27017

如要连接到其他部署，请根据需要指定 --host 等其他命令行选项进行连接。

创建用户管理员

使用 mongosh：

1. 切换到 admin 数据库

2. 并添加具有 userAdminAnyDatabase 和 readWriteAnyDatabase 角色的 myUserAdmin 用户”：

use admin
db.createUser(
  {
    user: "myUserAdmin",
    pwd: passwordPrompt(), // or cleartext password
    roles: [
      { role: "userAdminAnyDatabase", db: "admin" },
      { role: "readWriteAnyDatabase", db: "admin" }
    ]
  }
)

userAdminAnyDatabase 角色允许此用户：

• 创建用户

• 授予或撤销用户的角色

• 创建或修改自定义角色

您可以根据需要为用户分配其他内置角色或用户自定义角色。

在其内创建此用户的数据库（在此示例中为 admin）便是该用户的身份验证数据库。虽然此用户需要通过此数据库进行身份验证，但该用户还可能会在其他数据库中拥有角色。此用户的身份验证数据库不会限制该用户的特权。

使用访问控制重新启动 MongoDB 实例

关闭 mongod 实例。使用 mongosh，发出以下命令：

db.adminCommand( { shutdown: 1 } )

退出 mongosh。

在启用访问控制的情况下启动 mongod。

• 如果在命令行中启动 mongod，请添加 --auth 命令行选项：

  mongod --auth --port 27017 --dbpath /var/lib/mongodb

• 如果使用配置文件启动 mongod，请添加 security.authorization 配置文件设置：

  security:
      authorization: enabled

连接到此实例的客户端现在必须对自身进行身份验证，并且只能执行由所分配角色确定的操作。

连接并认证为用户管理员

使用 mongosh，您可以

mongosh --port 27017  --authenticationDatabase \
    "admin" -u "myUserAdmin" -p

mongosh --port 27017

use admin
db.auth("myUserAdmin", passwordPrompt()) // or cleartext password