通过原生 LDAP 使用自管理 Active Directory 对用户进行身份验证和授权

为运行 MongoDB 的服务器配置 TLS/SSL

要通过 TLS/SSL 连接到AD (AD) 服务器， mongod或mongos需要访问AD服务器的证书颁发机构 (CA) 证书。

在 Linux 上，通过ldap.conf文件中的TLS_CACERT或TLS_CACERTDIR选项指定AD服务器的 CA 证书。

平台的包管理器在安装 MongoDB Enterprise 的libldap 依赖项时创建 ldap.conf 文件。有关配置文件或引用选项的完整文档，请参阅 ldap .conf。

在 Microsoft Windows上，使用平台的档案管理工具加载AD服务器的证书颁发机构 (CA) 证书。 确切的档案管理工具取决于Windows版本。 要使用该工具，请参阅适用于您的Windows版本的文档。

如果mongod或mongos无法访问AD CA 文件，则他们无法创建与 Active Directory 服务器的 TLS/SSL 连接。

或者，将 security.ldap.transportSecurity 设置为 none 以禁用 TLS/SSL。

连接到 MongoDB Server。

使用 mongosh 用 --host 和 --port 选项连接 MongoDB 服务器。

mongosh --host <hostname> --port <port>

如果 MongoDB 服务器目前强制执行身份验证，则必须以具有角色管理权限（如 userAdmin 或 userAdminAnyDatabase 提供的权限）的用户身份验证 admin 数据库。为 MongoDB 服务器配置的身份验证机制纳入适当的 --authenticationMechanism。

mongosh --host <hostname> --port <port> --username <user> --password <pass> --authenticationDatabase="admin" --authenticationMechanism="<mechanism>"

创建用户管理角色。

要托管ADMongoDB 用户，您需要在可以创建和托管角色的admin数据库上创建至少一个角色，例如userAdmin或userAdminAnyDatabase提供的角色。

角色的名称必须与AD群组的标识名完全匹配。 该群组必须至少有一个AD用户作为成员。

给定可用的Active Directory 群组，执行以下操作：

• 创建以AD群组CN=dba,CN=Users,DC=example,DC=com命名的角色，以及

• 为其分配 admin 数据库上的 userAdminAnyDatabase 角色。

var admin = db.getSiblingDB("admin")
admin.createRole(
   {
     role: "CN=dba,CN=Users,DC=example,DC=com",
     privileges: [],
     roles: [ "userAdminAnyDatabase" ]
   }
)

您也可以为用户应具有用户管理权限的每个数据库授予 userAdmin 角色。这些角色为角色创建和管理提供必要的权限。

创建 MongoDB 配置文件。

MongoDB 配置文件是具有 .conf 文件扩展名的纯文本 YAML 文件。

• 如果您正在升级现有的 MongoDB 部署，请复制当前配置文件并从该副本开始工作。

• （仅限 Linux）如果这是新部署，并且您使用了平台的包管理器来安装 MongoDB Enterprise，则该安装将包含 /etc/mongod.conf 默认配置文件。使用该默认配置文件，或复制该文件以供使用。

• 如果不存在此类文件，请创建一个扩展名为 .conf 的空文件，然后从该新配置文件进行操作。

配置 MongoDB 以连接到 Active Directory。

在 MongoDB 配置文件中，将security.ldap.servers设置为AD Server 的主机和端口。 如果您的AD基础架构包含多个用于复制的AD服务器，请将服务器的主机和端口指定为security.ldap.servers的逗号分隔列表。

您还必须通过将security.authorization设置为enabled并将setParameter authenticationMechanisms设置为PLAIN来启用 LDAP 身份验证

security:
  authorization: "enabled"
  ldap:
    servers: "activedirectory.example.net"
setParameter:
  authenticationMechanisms: 'PLAIN'

MongoDB 必须绑定到AD服务器才能执行查询。 默认情况下，MongoDB 使用简单身份验证机制将自身绑定到AD服务器。

或者，您可以在配置文件中配置以下设置，以使用SASL绑定到AD服务器：

• 将 security.ldap.bind.method 设置为 sasl。

• security.ldap.bind.saslMechanisms ，指定AD服务器支持的一串以逗号分隔的 SASL 机制。

本教程使用默认的 simple LDAP 身份验证机制。

为授权配置 LDAP 查询模板。

在 MongoDB 配置文件中，将 security.ldap.authz.queryTemplate 设置为 RFC4516 格式的 LDAP 查询 URL 模板。

在模板中，您可以使用以下任一项：

• {USER} 占位符，用于将通过身份验证的用户名替换到 LDAP 查询 URL 中。

• {PROVIDED_USER} 占位符可在 LDAP 查询中替换为提供的用户名（即在身份验证或 LDAP 转换之前）。

security:
  ldap:
    authz:
      queryTemplate:
        "DC=example,DC=com??sub?(&(objectClass=group)(member:1.2.840.113556.1.4.1941:={USER}))"

MongoDB 将每个返回的组DN映射到admin数据库上的一个角色。 对于每个映射组DN ，如果admin数据库上存在其名称与DN完全匹配的现有角色，则 MongoDB 将向该用户授予分配给该角色的角色和权限。

匹配规则LDAP_MATCHING_RULE_IN_CHAIN要求提供身份验证用户的完整标识名 。如果用户使用不同的用户名格式（例如user principal name ）进行身份验证，则必须使用 将传入的用户名转换为 DN security.ldap.userToDNMapping。

可选：转换传入的用户名，以便通过 Active Directory 进行身份验证，

如果用户使用非完整 LDAP DN 的用户名进行身份验证，您可能需要转换用户名以支持 LDAP 身份验证或授权。 MongoDB 使用转换后的用户名进行身份验证和授权。

在 MongoDB 配置文件中，设置userToDNMapping以将身份验证用户提供的用户名转换为AD DN，以支持queryTemplate 。

security:
  ldap:
    userToDNMapping:
      '[
         {
            match : "(.+)",
            ldapQuery: "DC=example,DC=com??sub?(userPrincipalName={0})"
         }
    ]'

您必须修改给定的示例配置以匹配您的部署。 例如， ldapQuery基本标识名必须与包含用户实体的基本标识名匹配。 可能需要进行其他修改才能支持AD部署。

DC=example,DC=com??sub?(userPrincipalName=alice@ENGINEERING.EXAMPLE.COM)

配置查询凭证。

MongoDB 需要凭据才能在AD服务器上执行查询。

在配置文件中配置以下设置：

• security.ldap.bind.queryUser ，指定mongod或mongos绑定的 Active 目录 用户，以便在AD服务器上执行查询。

• security.ldap.bind.queryPassword，为指定的 queryUser 指定密码。

security:
  ldap:
    bind:
      queryUser: "mongodbadmin@dba.example.com"
      queryPassword: "secret123"

在Windows MongoDB 服务器上，您可以将security.ldap.bind.useOSDefaults设置为true以使用操作系统用户的档案，而不是queryUser和queryPassword 。

queryUser 必须具有代表 MongoDB 执行所有 LDAP 查询的权限。

可选：添加其他配置设置。

添加部署所需的任何其他配置选项。 例如，您可以指定所需的storage.dbPath或更改默认的net.port数字。

mongod和mongos默认绑定到本地主机。 如果部署的成员在不同主机上运行，或者希望远程客户端连接到部署，则必须指定net.bindIp设置。

使用 Active Directory 身份验证和授权启动 MongoDB Server。

使用 --config 选项启动 MongoDB 服务器，并指定在此过程中创建的配置文件的路径。如果 MongoDB 服务器当前正在运行，请做好适当的准备以停止服务器。

mongod --config <path-to-config-file>

Windows MongoDB 部署必须使用mongod.exe而不是mongod 。

连接到 MongoDB Server。

连接到 MongoDB 服务器，以特定用户身份进行身份验证，该用户的直接或可传递群组成员身份对应于 admin 数据库上具有 userAdmin、userAdminAnyDatabase 的 MongoDB 角色或具有同等特权的自定义角色。

使用 mongosh 对 MongoDB 服务器进行身份验证，并设置以下选项：

• --host 使用 MongoDB Server 的主机名

• --port 使用 MongoDB 服务器的端口

• --username 为用户的用户名

• --password 为用户密码

• --authenticationMechanism to 'PLAIN'

• --authenticationDatabase to '$external'

mongosh --username sam@DBA.EXAMPLE.COM --password  --authenticationMechanism 'PLAIN' --authenticationDatabase '$external' --host <hostname> --port <port>

Windows MongoDB 部署必须使用mongo.exe而不是mongosh 。

根据已配置 Active Directory 用户，用户可成功通过身份验证并获得相应权限。

创建用于映射返回的 AD 群组的角色。

对于AD服务器上您希望用于 MongoDB 授权的每个群组，您必须在 MongoDB 服务器的admin数据库上创建一个匹配的角色。

db.getSiblingDB("admin").createRole(
   {
     role: "CN=PrimaryApplication,CN=Users,DC=example,DC=com",
     privileges: [],
     roles: [
       { role: "readWrite", db: "PrimaryApplication" }
     ]
   }
)

将现有用户从$external 转换到 ActiveDirectory服务器

如果使用在$external数据库上配置的用户升级现有安装，则必须满足每个用户的以下要求，以确保在为AD身份验证和授权配置 MongoDB 后具有访问权限：

• 用户在AD服务器上有相应的用户对象。

• 用户具有AD服务器上相应群组的成员资格。

• MongoDB 包含在名为用户的AD群组的数据库admin上的角色，因此授权用户保留其权限。

{
  user : "joe@ANALYTICS.EXAMPLE.COM",
  roles: [
    { role : "read", db : "web_analytics" },
    { role : "read", db : "PrimaryApplication" }
  ]
}

db.getSiblingDB("admin").createRole(
   {
     role: "CN=marketing,CN=Users,DC=example,DC=com",
     privileges: [],
     roles: [
       { role: "read", db: "web_analytics" }
       { role: "read", db: "PrimaryApplication" }
     ]
   }
)

如果要继续允许非$external数据库上的用户访问 MongoDB，则必须纳入 SCRAM 身份验证机制（例如 SCRAM-SHA-1和/或SCRAM-SHA-256 ）位于setParameter authenticationMechanisms配置选项中。 例如：

setParameter:
  authenticationMechanisms: "PLAIN,SCRAM-SHA-1,SCRAM-SHA-256"

或者，按照上述过程将非$external用户转换到AD 。