Overview
Cloud Manager le permite configurar los mecanismos de autenticación que todos los clientes, incluidos los agentes de Cloud Manager, utilizan para conectarse a sus implementaciones de MongoDB. Puede habilitar varios mecanismos de autenticación para cada proyecto, pero solo debe elegir uno para los agentes.
MongoDB Enterprise admite la autenticación mediante un servicio Kerberos. Kerberos es un protocolo de autenticación estándar en la industria para grandes sistemas cliente-servidor.
Importante
La configuración de una implementación de Kerberos queda fuera del alcance de este documento. Este tutorial presupone que ha configurado una entidad de seguridad Kerberos para cada agente y que dispone de un archivo keytab válido para cada agente.
Para autenticar MongoDB con Kerberos, debe:
Tener una implementación de Kerberos configurada correctamente,
Configurar los principales de servicio Kerberos para MongoDB y
Agregue los principales de usuario Kerberos para los agentes.
La sección Autenticación Kerberos del Manual de MongoDB proporciona más detalles sobre el uso de MongoDB con Kerberos.
Considerations
Kerberos (GSSAPI) Solo está disponible en compilaciones de MongoDB Enterprise. Si tiene implementaciones ejecutándose en una compilación de MongoDB Community, debe actualícelos a MongoDB Enterprise antes de poder habilitar Kerberos (GSSAPI) para su proyecto de Cloud Manager.
Este tutorial describe cómo habilitar Kerberos para uno de sus proyectos de Cloud Manager y cómo configurar sus agentes de Cloud Manager para conectarse a su implementación habilitada para Kerberos.
Nota
Para restablecer la configuración de autenticación y TLS para su proyecto, primero deje de administrar cualquier implementación de MongoDB que Cloud Manager administre en su proyecto.
Procedimientos
Estos procedimientos describen cómo configurar y habilitar la autenticación Kerberos al usar Automation. Si Cloud Manager no administra la monitorización ni las copias de seguridad, deberá configurarlas manualmente para que se autentiquen con Kerberos.
Consulte Configurar el agente MongoDB para Kerberos para obtener instrucciones.
Configurar una implementación de Linux existente para la autenticación basada en Kerberos
Si usa Cloud Manager para administrar implementaciones existentes en Linux en su proyecto, todas las implementaciones de MongoDB en el proyecto deben estar configuradas para la autenticación Kerberos antes de poder habilitar la autenticación Kerberos para su proyecto.
En MongoDB Cloud Manager, vaya a Processes Página para su proyecto.
Si aún no se muestra, seleccione la organización que contiene su proyecto deseado en el menú Organizations de la barra de navegación.
Si aún no aparece, selecciona el proyecto deseado en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Processes en la sección Database.
Se muestra la página Procesos.
Establezca la kerberosKeytab opción.
Si kerberosKeytab aún no está configurado:
Haga clic en Add Option.
Ampliar la lista Select a Startup Option.
Busque y seleccione la opción kerberosKeytab, luego haga clic en Add.
En la columna kerberosKeytab, proporcione la ruta absoluta al archivo keytab.
Haga clic en Save.
Cuando haya configurado las opciones de Kerberos para cada implementación, puede proceder a habilitar Kerberos para su proyecto de Cloud Manager.
Habilite Kerberos para su proyecto de Cloud Manager
En MongoDB Cloud Manager, ir a la página Security del proyecto.
Si aún no se muestra, seleccione la organización que contiene su proyecto deseado en el menú Organizations de la barra de navegación.
Si aún no aparece, selecciona el proyecto deseado en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Security en la sección Database.
Se muestra la página de Seguridad.
Vaya al Security Settings cuadro de diálogo para su implementación.
Realice una de las siguientes acciones:
Si es la primera vez que configura Para configurarTLS, autenticación o autorización para este proyecto, haga clic Get Started en.
Si ya ha configurado la autenticación TLS o las configuraciones de autorización para este proyecto, haga clic Edit en.
Especifique la configuración deTLS.
Campo | Acción | ||||
|---|---|---|---|---|---|
Seguridad de capa de transporte de implementación de MongoDB (TLS) | Cambie este control deslizante a ON. | ||||
Ruta de archivo CA TLS | El archivo de la autoridad de certificación TLS es un archivo de certificado con formato que contiene la cadena de certificados raíz de la autoridad de certificación. El agente de MongoDB utiliza este mismo archivo de autoridad de certificación para conectarse a todos los elementos de su implementación. La clave privada cifrada para el Escriba la ruta del archivo de la autoridad de certificación TLS en cada host que ejecute un proceso MongoDB:
Esto habilita la configuración para los procesos MongoDB en el Haz clic en Validate para probar que cada host en tu implementación tenga una autoridad certificadora TLS en las rutas que especificaste. | ||||
Modo de certificado de cliente | Seleccione si las aplicaciones cliente o los agentes de MongoDB deben presentar un certificado TLS al conectarse a implementaciones de MongoDB con TLS habilitado. Cada implementación de MongoDB comprueba si estos hosts cliente tienen certificados al intentar conectarse. Si decide requerir los certificados TLS del cliente, asegúrese de que sean válidos. Los valores aceptados son:
|
Configurar los ajustes de autorización LDAP.
Importante
A partir de MongoDB 3.4, puede autenticar usuarios mediante certificados LDAP, Kerberos y X.509 sin necesidad de documentos de usuario locales en la base de datos $external, siempre que habilite primero la autorización LDAP. Cuando un usuario se autentica correctamente, MongoDB realiza una consulta al servidor LDAP para recuperar todos los grupos que posee y los transforma en sus roles equivalentes de MongoDB.
Omita este paso si no desea habilitar la autorización LDAP.
Introduzca valores para los siguientes campos:
ConfiguraciónValorLDAP Authorization
Cambie a ON para habilitar la autorización LDAP.
Authorization Query Template
Especifique una plantilla para una URL de consulta LDAP para recuperar una lista de grupos LDAP para un usuario LDAP.
Configurar {{mechanism}} para los agentes.
Puede habilitar más de un mecanismo de autenticación para su implementación de MongoDB, pero los agentes de Cloud Manager solo pueden usar uno. Seleccione {{mecanismo}} para conectarse a su implementación de MongoDB.
Seleccione la opción {{mecanismo}} de la sección Agent Auth Mechanism.
Proporcione credenciales para el agente MongoDB:
Si utiliza Linux, configure:
ConfiguraciónValorMongoDB Agent Kerberos Principal
El principal de Kerberos.
MongoDB Agent Keytab Path
La ruta de la clave del agente.
Si utiliza Windows, configure:
ConfiguraciónValorMongoDB Agent Username
El nombre de usuario de Active Directory.
MongoDB Agent Password
La contraseña de Active Directory.
Domain
El nombre NetBIOS de un dominio en los Servicios de Dominio de Active Directory. Debe estar en mayúsculas.
Crear roles de MongoDB para grupos LDAP (opcional).
Después de habilitar la autorización LDAP, debe crear roles MongoDB personalizados para cada grupo LDAP que haya especificado para la autorización LDAP.