Nota
Comenzando con MongoDB 8.0, La autenticación y autorizaciónLDAP está obsoleta. Esta función está disponible y seguirá funcionando sin cambios durante la vida útil de MongoDB. 8 LDAP se eliminará en una futura versión principal.
Para más detalles, consulta Obsolescencia de LDAP.
Cloud Manager le permite configurar los mecanismos de autenticación que todos los clientes, incluidos los agentes de Cloud Manager, utilizan para conectarse a sus implementaciones de MongoDB. Puede habilitar varios mecanismos de autenticación para cada proyecto, pero solo debe elegir uno para los agentes.
MongoDB Enterprise admite el envío de solicitudes de autenticación a un servicio de Protocolo ligero de acceso a directorios (LDAP).
LDAP Solo está disponible en compilaciones de MongoDB Enterprise. Si tiene implementaciones ejecutándose en una compilación de MongoDB Community, debe actualícelos a MongoDB Enterprise antes de poder habilitar LDAP para su proyecto de Cloud Manager.
Considerations
MongoDB Enterprise admite enlaces simples y SASL a servidores de Protocolo ligero de acceso a directorios (LDAP) a través de saslauthd y bibliotecas del sistema operativo:
MongoDB Enterprise para Linux puede vincularse a un servidor LDAP a través de
saslauthdo mediante las bibliotecas del sistema operativo.MongoDB Enterprise para Windows puede vincularse a un servidor LDAP a través de las bibliotecas del sistema operativo.
Para aprender a configurar LDAP y SASL, consulte las secciones Autenticación de proxy LDAP y Autorización LDAP en el manual de MongoDB.
Habilitar la autenticación LDAP
Este procedimiento describe cómo configurar y habilitar la autenticación LDAP para implementaciones que utilizan Automatización.
En MongoDB Cloud Manager, vaya a Security Página para su proyecto.
Si aún no se muestra, seleccione la organización que contiene su proyecto deseado en el menú Organizations de la barra de navegación.
Si aún no aparece, selecciona el proyecto deseado en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Security en la sección Database.
Se muestra la página de Seguridad.
Vaya al Security Settings cuadro de diálogo para su implementación.
Realice una de las siguientes acciones:
Si es la primera vez que configura TLS, autenticación o autorización para este proyecto, haga clic Get Started en.
Si ya ha configurado la autenticación TLS o las configuraciones de autorización para este proyecto, haga clic Edit en.
Especifique la configuración deTLS.
Campo | Acción |
|---|---|
Seguridad de capa de transporte de implementación de MongoDB (TLS) | Cambie este control deslizante a ON. |
Ruta de archivo CA TLS | El archivo de la autoridad de certificación TLS es un archivo de certificado con formato que contiene la cadena de certificados raíz de la autoridad de certificación. El agente de MongoDB utiliza este mismo archivo de autoridad de certificación para conectarse a todos los elementos de su implementación. La clave privada cifrada para el Escriba la ruta del archivo de la autoridad de certificación TLS en cada host que ejecute un proceso MongoDB:
Esto habilita la configuración para los procesos MongoDB en el Haz clic en Validate para probar que cada host en tu implementación tenga una autoridad certificadora TLS en las rutas que especificaste. |
Modo de certificado de cliente | Seleccione si las aplicaciones cliente o los agentes de MongoDB deben presentar un certificado TLS al conectarse a implementaciones de MongoDB con TLS habilitado. Cada implementación de MongoDB comprueba si estos hosts cliente tienen certificados al intentar conectarse. Si decide requerir los certificados TLS del cliente, asegúrese de que sean válidos. Los valores aceptados son:
|
Configurar los ajustes de autorización LDAP (opcional).
ADVERTENCIA: A partir de MongoDB,3.4 puede autenticar usuarios mediante certificados LDAP, Kerberos o X.509 sin necesidad de documentos de usuario locales en la $external base de datos, siempre que habilite primero la autorización LDAP. Cuando un usuario se autentica correctamente, MongoDB realiza una consulta al servidor LDAP para recuperar todos los grupos que posee y transformarlos en sus roles equivalentes de MongoDB.
Omita este paso si seleccionó Saslauthd en el paso anterior.
Si seleccionó Native LDAP Authentication, complete los siguientes pasos:
Proporcione los siguientes valores:
ConfiguraciónValorServer URL
Especifique la combinación
hostname:portde uno o más servidores LDAP.Seguridad del transporte
Seleccione
TLSpara cifrar sus consultas LDAP. Si no necesita cifrarlas, seleccioneNone.Tiempo de espera (ms)
Especifica cuánto tiempo debe esperar una solicitud de autenticación antes de agotar el tiempo.
Método de enlace
Seleccione
SASLoSimple.IMPORTANTE: Al elegir el método de vinculación
Simple, seleccionaTLSdesde el Transport Security porque el método de vinculaciónSimpleenvía la contraseña en texto claro.Mecanismos SASL
Especifique qué servicio de autenticación SASL utiliza MongoDB con el servidor LDAP.
Consulta de usuario (DN de enlace LDAP)
Especifique el nombre distinguido LDAP al que MongoDB se vincula cuando se conecta al servidor LDAP.
Query Password (LDAP Bind nombre distinguido)
Especifique la contraseña con la que MongoDB se vincula cuando se conecta a un servidor LDAP.
Intervalo (s) de invalidación de caché de usuario LDAP
Especifica el tiempo que MongoDB espera para vaciar la caché de usuarios LDAP. El valor predeterminado es
30segundos.Asignación de usuario a nombre distinguido
Especifique una matriz de documentos JSON que proporcionen las transformaciones ordenadas que MongoDB realiza en los nombres de usuario autenticados. MongoDB compara el nombre de usuario transformado con los DN LDAP.
Validate LDAP Server Config
Selecciona
ONpara validar la configuración del servidor LDAP oOFFpara omitir la validación.Si es
ONy la configuración no es válida, la implementación de MongoDB no se iniciará.En la sección LDAP Authorization, ingrese valores para los siguientes campos:
ConfiguraciónValorLDAP Authorization
Cambie a ON para habilitar la autorización LDAP.
Authorization Query Template
Especifique una plantilla para una URL de consulta LDAP para recuperar una lista de grupos LDAP para un usuario LDAP.
User to Distinguished Name Mapping
Especifique una matriz de documentos JSON que proporcionen las transformaciones ordenadas que MongoDB realiza en los nombres de usuario autenticados. MongoDB compara el nombre de usuario transformado con los DN LDAP.
Configure los agentes para usar {{mechanism}} para conectarse a su implementación de MongoDB.
IMPORTANTE: Recuerde que Cloud Manager limita a los agentes a utilizar un mecanismo por implementación.
Seleccione la opción {{mecanismo}} de la sección Agent Auth Mechanism.
Proporcione credenciales para el agente MongoDB:
ConfiguraciónValorMongoDB Agent Username
Introduzca el nombre de usuario LDAP.
MongoDB Agent Password
Introduce la contraseña del nombre de usuario LDAP del agente.
DN del grupo LDAP del agente MongoDB
Si habilitó la Autorización LDAP, ingrese el DN del grupo del cual es miembro el usuario del Agente MongoDB.
Crear roles de MongoDB para grupos LDAP (opcional).
Después de habilitar la autorización LDAP, debe crear roles MongoDB personalizados para cada grupo LDAP que haya especificado para la autorización LDAP.
Si Cloud Manager no gestiona la monitorización ni la copia de seguridad, deberá configurarlas manualmente para que usen LDAP. Para configurar LDAP, consulte Configurar el agente de MongoDB para LDAP.
Restablecer la configuración de autenticación y TLS
Nota
Para restablecer la configuración de autenticación y TLS para su proyecto, primero deje de administrar cualquier implementación de MongoDB que Cloud Manager administre en su proyecto.
Rotar contraseñas de autenticación LDAP
Este procedimiento describe cómo rotar las credenciales de autenticación LDAP en implementaciones que utilizan automatización.
En MongoDB Cloud Manager, ir a la página Security del proyecto.
Si aún no se muestra, seleccione la organización que contiene su proyecto deseado en el menú Organizations de la barra de navegación.
Si aún no aparece, selecciona el proyecto deseado en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Security en la sección Database.
Se muestra la página de Seguridad.
Vaya al Security Settings cuadro de diálogo para su implementación.
Realice una de las siguientes acciones:
Si es la primera vez que configura TLS, autenticación o autorización para este proyecto, haga clic Get Started en.
Si ya ha configurado la autenticación TLS o las configuraciones de autorización para este proyecto, haga clic Edit en.
Especifique la configuración deTLS.
Campo | Acción |
|---|---|
Seguridad de capa de transporte de implementación de MongoDB (TLS) | Cambie este control deslizante a ON. |
Ruta de archivo CA TLS | El archivo de la autoridad de certificación TLS es un archivo de certificado con formato que contiene la cadena de certificados raíz de la autoridad de certificación. El agente de MongoDB utiliza este mismo archivo de autoridad de certificación para conectarse a todos los elementos de su implementación. La clave privada Escriba la ruta del archivo de la autoridad de certificación TLS en cada host que ejecute un proceso MongoDB:
Esto habilita la configuración para los procesos MongoDB en el Haz clic en Validate para probar que cada host en tu implementación tenga una autoridad certificadora TLS en las rutas que especificaste. |
Modo de certificado de cliente | Seleccione si las aplicaciones cliente o los agentes de MongoDB deben presentar un certificado TLS al conectarse a implementaciones de MongoDB con TLS habilitado. Cada implementación de MongoDB comprueba si estos hosts cliente tienen certificados al intentar conectarse. Si decide requerir los certificados TLS del cliente, asegúrese de que sean válidos. Los valores aceptados son:
|
Rotar las contraseñas de autorización LDAP (opcional).
IMPORTANTE: Puedes autenticar usuarios utilizando LDAP, Kerberos, o certificados X.509 sin requerir documentos de usuario locales en la base de datos $external siempre que primero habilites la autorización LDAP. Cuando dicho usuario se autentica con éxito, MongoDB realiza una query contra el servidor LDAP para recuperar todos los grupos que posee ese usuario LDAP y convierte esos grupos en sus roles equivalentes en MongoDB.
Asegúrese de haber seleccionado Native LDAP Authentication y luego complete los siguientes pasos:
Proporcione los siguientes valores:
ConfiguraciónValorServer URL
Especifique la combinación
hostname:portde uno o más servidores LDAP.Seguridad del transporte
Seleccione
TLSpara cifrar sus consultas LDAP. Si no necesita cifrarlas, seleccioneNone.Tiempo de espera (ms)
Especifica cuánto tiempo debe esperar una solicitud de autenticación antes de agotar el tiempo.
Método de enlace
Seleccione
SASLoSimple.IMPORTANTE: Al elegir el método de vinculación
Simple, seleccionaTLSdesde el Transport Security porque el método de vinculaciónSimpleenvía la contraseña en texto claro.Mecanismos SASL
Especifique qué servicio de autenticación SASL utiliza MongoDB con el servidor LDAP.
Consulta de usuario (DN de enlace LDAP)
Especifique el nombre distinguido LDAP al que MongoDB se vincula cuando se conecta al servidor LDAP.
Query Password (LDAP Bind nombre distinguido)
Especifique la contraseña con la que MongoDB se vincula cuando se conecta a un servidor LDAP.
Nueva contraseña de consulta (DN de enlace LDAP)
Especifique la nueva contraseña con la que MongoDB se vinculará al conectarse a un servidor LDAP. Especificar una nueva contraseña en este campo le permite rotar la contraseña de consulta sin problemas.
IMPORTANTE: Después de rotar la contraseña en el lado del servidor LDAP, mueva el contenido del New Query Password campo al Query Password campo y deje el New Query Password campo vacío.
Intervalo (s) de invalidación de caché de usuario LDAP
Especifica el tiempo que MongoDB espera para vaciar la caché de usuarios LDAP. El valor predeterminado es
30segundos.Asignación de usuario a nombre distinguido
Especifique una matriz de documentos JSON que proporcionen las transformaciones ordenadas que MongoDB realiza en los nombres de usuario autenticados. MongoDB compara el nombre de usuario transformado con los DN LDAP.
Validate LDAP Server Config
Selecciona
ONpara validar la configuración del servidor LDAP oOFFpara omitir la validación.Si es
ONy la configuración no es válida, la implementación de MongoDB no se iniciará.En la sección LDAP Authorization, ingrese valores para los siguientes campos:
ConfiguraciónValorLDAP Authorization
Cambie a ON para habilitar la autorización LDAP.
Authorization Query Template
Especifique una plantilla para una URL de consulta LDAP para recuperar una lista de grupos LDAP para un usuario LDAP.
User to Distinguished Name Mapping
Especifique una matriz de documentos JSON que proporcionen las transformaciones ordenadas que MongoDB realiza en los nombres de usuario autenticados. MongoDB compara el nombre de usuario transformado con los DN LDAP.
Configure los agentes para usar {{mechanism}} para conectarse a su implementación de MongoDB.
IMPORTANTE: Recuerde que Cloud Manager limita a los agentes a utilizar un mecanismo por implementación.
Seleccione la opción {{mecanismo}} de la sección Agent Auth Mechanism.
Proporcione credenciales para el agente MongoDB:
ConfiguraciónValorMongoDB Agent Username
Introduzca el nombre de usuario LDAP.
MongoDB Agent Password
Introduce la contraseña del nombre de usuario LDAP del agente.
DN del grupo LDAP del agente MongoDB
Si habilitó la Autorización LDAP, ingrese el DN del grupo del cual es miembro el usuario del Agente MongoDB.
Haga clic en Save Settings.
IMPORTANTE: Al guardar la configuración con una nueva contraseña, MongoDB prueba ambas. Tras completar este procedimiento, puede cambiar la contraseña en su servidor LDAP. Después de rotar la contraseña en el servidor LDAP, mueva el contenido del New Query Password campo al Query Password campo y deje New Query Password vacío el campo.
Crear roles de MongoDB para grupos LDAP (opcional).
Después de habilitar la autorización LDAP, debe crear roles MongoDB personalizados para cada grupo LDAP que haya especificado para la autorización LDAP.