Nota
Comenzando con MongoDB 8.0, La autenticación y autorización LDAP está obsoleta. La funcionalidad está disponible y seguirá funcionando sin cambios durante toda la vida útil de MongoDB 8. LDAP será removido en una próxima versión importante.
Para más detalles, consulta Obsolescencia de LDAP.
Cloud Manager te permite configurar los mecanismos de autenticación que todos los clientes, incluidos los agentes de Cloud Manager, utilizan para conectarse a tus implementaciones de MongoDB. Puedes habilitar múltiples mecanismos de autenticación para cada uno de tus proyectos, pero debes elegir solo un mecanismo para los Agentes.
MongoDB Enterprise admite el proxy de solicitudes de autenticación a un servicio de Protocolo ligero de acceso a directorios (LDAP).
LDAP Solo está disponible en compilaciones de MongoDB Enterprise. Si tiene implementaciones ejecutándose en una compilación de MongoDB Community, debe actualícelos a MongoDB Enterprise antes de poder habilitar LDAP para su proyecto de Cloud Manager.
Considerations
MongoDB Enterprise admite el enlace simple y SASL a servidores de Protocolo Ligero de Acceso a Directorios (LDAP) a través de saslauthd y librerías del sistema operativo:
MongoDB Enterprise para Linux puede vincularse a un servidor LDAP ya sea mediante
saslauthdo a través de las bibliotecas del sistema operativo.MongoDB Enterprise para Windows puede vincularse a un servidor LDAP a través de las librerías del sistema operativo.
Para aprender a configurar LDAP y SASL, consulte las secciones Autenticación de proxy LDAP y Autorización LDAP en el manual de MongoDB.
Habilitar autenticación LDAP
Este procedimiento describe cómo configurar y habilitar la autenticación LDAP para implementaciones que utilizan Automatización.
En MongoDB Cloud Manager, vaya a Security página para tu proyecto.
Si aún no se muestra, seleccione la organización que contiene su proyecto deseado en el menú Organizations de la barra de navegación.
Si aún no aparece, selecciona el proyecto deseado en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Security en la sección Database.
Se muestra la página de Seguridad.
Vaya al Security Settings cuadro de diálogo para su implementación.
Realice una de las siguientes acciones:
Si esta es la primera vez que configura TLS, autenticación o configuración de autorización para este proyecto, haz clic en Get Started.
Si ya se ha configurado la autenticación TLS, o la configuración de autorización para este proyecto, haga clic en Edit.
Especifique la configuración de TLS.
Campo | Acción |
|---|---|
Seguridad de capa de transporte de implementación de MongoDB (TLS) | Active este control deslizante para ON. |
Ruta de archivo CA TLS | El archivo de la Autoridad Certificadora TLS es un archivo de certificado en formato La clave privada cifrada para el archivo de certificado Escriba la ruta del archivo hasta el archivo de la Autoridad Certificadora TLS en cada host que ejecute un proceso de MongoDB:
Esto habilita la configuración para los procesos MongoDB en el Haz clic en Validate para probar que cada host en tu implementación tenga una autoridad certificadora TLS en las rutas que especificaste. |
Modo de certificado de cliente | Seleccione si las aplicaciones cliente o los agentes de MongoDB deben presentar un certificado TLS al conectarse a implementaciones de MongoDB con TLS habilitado. Cada implementación de MongoDB comprueba si estos hosts cliente tienen certificados al intentar conectarse. Si decide requerir los certificados TLS del cliente, asegúrese de que sean válidos. Los valores aceptados son:
|
Configura los ajustes de autorizacion LDAP. (opcional)
ADVERTENCIA: A partir de MongoDB 3.4, puede autenticar usuarios mediante LDAP, Kerberos o certificados X.509 sin requerir documentos de usuario locales en la base de datos $external siempre que active primero la autorizacion LDAP. Cuando un usuario de este tipo se autentica correctamente, MongoDB realiza una query contra el servidor LDAP para recuperar todos los grupos a los que pertenece ese usuario de LDAP y transforma esos grupos en sus roles equivalentes de MongoDB.
Omitir este paso si seleccionó Saslauthd en el paso anterior.
Si seleccionó Native LDAP Authentication, complete los siguientes pasos:
Proporciona los siguientes valores:
ConfiguraciónValorServer URL
Especifique la combinación
hostname:portde uno o más servidores LDAP.transportSecurity
Selecciona
TLSpara cifrar tus consultas LDAP. Si no necesita cifrar las consultas LDAP, seleccioneNone.Tiempo de espera (ms)
Especifica cuánto tiempo debe esperar una solicitud de autenticación antes de agotar el tiempo.
Método de enlace
Seleccione
SASLoSimple.IMPORTANTE: Al elegir el método de vinculación
Simple, seleccionaTLSdesde el Transport Security porque el método de vinculaciónSimpleenvía la contraseña en texto claro.Mecanismos SASL
Especifica qué servicio de autenticación SASL utiliza MongoDB con el servidor LDAP.
Consulta de usuario (DN de enlace LDAP)
Especifique el nombre distinguido LDAP al que MongoDB se vincula cuando se conecta al servidor LDAP.
Query Password (LDAP Bind nombre distinguido)
Especifique la contraseña con la que MongoDB se conecta al conectarse a un servidor LDAP.
Intervalo de invalidación de la caché de usuario LDAP (s)
Establece cuánto tiempo espera MongoDB para vaciar la caché de usuarios de LDAP. Por defecto, son
30segundos.Mapeo de usuario a nombre distinguido
Especifique una matriz de documentos JSON que proporcionen las transformaciones ordenadas que MongoDB realiza en los nombres de usuario autenticados. MongoDB compara el nombre de usuario transformado con los DN LDAP.
Validate LDAP Server Config
Selecciona
ONpara validar la configuración del servidor LDAP oOFFpara omitir la validación.Si es
ONy la configuración no es válida, la implementación de MongoDB no se iniciará.En la sección LDAP Authorization, ingrese valores para los siguientes campos:
ConfiguraciónValorLDAP Authorization
Cambia a ON para habilitar la autorización LDAP.
Authorization Query Template
Especifica una plantilla para una URL de query LDAP para recuperar una lista de grupos LDAP para un usuario LDAP.
User to Distinguished Name Mapping
Especifique una matriz de documentos JSON que proporcionen las transformaciones ordenadas que MongoDB realiza en los nombres de usuario autenticados. MongoDB compara el nombre de usuario transformado con los DN LDAP.
Configure los agentes para usar {{mechanism}} para conectarse a su implementación de MongoDB.
IMPORTANTE: Recuerde que Cloud Manager limita a los agentes a utilizar un solo mecanismo por implementación.
Selecciona la opción {{mechanism}} en la sección Agent Auth Mechanism.
Proporcione las credenciales para el agente MongoDB:
ConfiguraciónValorMongoDB Agent Username
Introduzca el nombre de usuario LDAP.
MongoDB Agent Password
Introduce la contraseña del nombre de usuario LDAP del agente.
MongoDB Agent LDAP nombre distinguido
Si habilitó la Autorización LDAP, ingrese el DN del grupo del cual es miembro el usuario del Agente MongoDB.
Crear roles de MongoDB para grupos LDAP. (opcional)
Después de activar la autorización LDAP, debe crear roles personalizados de MongoDB para cada Grupo LDAP que haya especificado para la autorización LDAP.
Si Cloud Manager no gestiona la monitorización ni la copia de seguridad, deberá configurarlas manualmente para que usen LDAP. Para configurar LDAP, consulte Configurar el agente de MongoDB para LDAP.
Restablecer autenticación y configuraciones TLS
Nota
Para restablecer la autenticación y la configuración de TLS de tu proyecto, primero desadministra cualquier implementación de MongoDB que Cloud Manager administre en tu proyecto.
Rotar contraseñas de autenticación LDAP
Este procedimiento describe cómo rotar las credenciales de autenticación LDAP en implementaciones que utilizan automatización.
En MongoDB Cloud Manager, ir a la página Security del proyecto.
Si aún no se muestra, seleccione la organización que contiene su proyecto deseado en el menú Organizations de la barra de navegación.
Si aún no aparece, selecciona el proyecto deseado en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Security en la sección Database.
Se muestra la página de Seguridad.
Vaya al Security Settings cuadro de diálogo para su implementación.
Realice una de las siguientes acciones:
Si esta es la primera vez que configura TLS, autenticación o configuración de autorización para este proyecto, haz clic en Get Started.
Si ya se ha configurado la autenticación TLS, o la configuración de autorización para este proyecto, haga clic en Edit.
Especifique la configuración de TLS.
Campo | Acción |
|---|---|
Seguridad de capa de transporte de implementación de MongoDB (TLS) | Active este control deslizante para ON. |
Ruta de archivo CA TLS | El archivo de la Autoridad Certificadora TLS es un archivo de certificado en formato La clave privada cifrada para el archivo de certificado Escriba la ruta del archivo hasta el archivo de la Autoridad Certificadora TLS en cada host que ejecute un proceso de MongoDB:
Esto habilita la configuración para los procesos MongoDB en el Haz clic en Validate para probar que cada host en tu implementación tenga una autoridad certificadora TLS en las rutas que especificaste. |
Modo de certificado de cliente | Seleccione si las aplicaciones cliente o los agentes de MongoDB deben presentar un certificado TLS al conectarse a implementaciones de MongoDB con TLS habilitado. Cada implementación de MongoDB comprueba si estos hosts cliente tienen certificados al intentar conectarse. Si decide requerir los certificados TLS del cliente, asegúrese de que sean válidos. Los valores aceptados son:
|
Rote las contraseñas de autorizacion LDAP. (opcional)
IMPORTANTE: Puedes autenticar usuarios utilizando LDAP, Kerberos, o certificados X.509 sin requerir documentos de usuario locales en la base de datos $external siempre que primero habilites la autorización LDAP. Cuando dicho usuario se autentica con éxito, MongoDB realiza una query contra el servidor LDAP para recuperar todos los grupos que posee ese usuario LDAP y convierte esos grupos en sus roles equivalentes en MongoDB.
Asegúrate de haber seleccionado Native LDAP Authentication y luego completa los siguientes pasos:
Proporciona los siguientes valores:
ConfiguraciónValorServer URL
Especifique la combinación
hostname:portde uno o más servidores LDAP.transportSecurity
Selecciona
TLSpara cifrar tus consultas LDAP. Si no necesita cifrar las consultas LDAP, seleccioneNone.Tiempo de espera (ms)
Especifica cuánto tiempo debe esperar una solicitud de autenticación antes de agotar el tiempo.
Método de enlace
Seleccione
SASLoSimple.IMPORTANTE: Al elegir el método de vinculación
Simple, seleccionaTLSdesde el Transport Security porque el método de vinculaciónSimpleenvía la contraseña en texto claro.Mecanismos SASL
Especifica qué servicio de autenticación SASL utiliza MongoDB con el servidor LDAP.
Consulta de usuario (DN de enlace LDAP)
Especifique el nombre distinguido LDAP al que MongoDB se vincula cuando se conecta al servidor LDAP.
Query Password (LDAP Bind nombre distinguido)
Especifique la contraseña con la que MongoDB se conecta al conectarse a un servidor LDAP.
Nueva contraseña de consulta (DN de enlace LDAP)
Especifique la nueva contraseña con la que MongoDB se conectará al conectarse a un servidor LDAP. Especificar una nueva contraseña en este campo te permitirá cambiar la contraseña de la query sin contratiempos.
IMPORTANTE: Después de rotar la contraseña en el lado del servidor LDAP, cambia el contenido del campo New Query Password al campo Query Password y deja el campo New Query Password vacío.
Intervalo de invalidación de la caché de usuario LDAP (s)
Establece cuánto tiempo espera MongoDB para vaciar la caché de usuarios de LDAP. Por defecto, son
30segundos.Mapeo de usuario a nombre distinguido
Especifique una matriz de documentos JSON que proporcionen las transformaciones ordenadas que MongoDB realiza en los nombres de usuario autenticados. MongoDB compara el nombre de usuario transformado con los DN LDAP.
Validate LDAP Server Config
Selecciona
ONpara validar la configuración del servidor LDAP oOFFpara omitir la validación.Si es
ONy la configuración no es válida, la implementación de MongoDB no se iniciará.En la sección LDAP Authorization, ingrese valores para los siguientes campos:
ConfiguraciónValorLDAP Authorization
Cambia a ON para habilitar la autorización LDAP.
Authorization Query Template
Especifica una plantilla para una URL de query LDAP para recuperar una lista de grupos LDAP para un usuario LDAP.
User to Distinguished Name Mapping
Especifique una matriz de documentos JSON que proporcionen las transformaciones ordenadas que MongoDB realiza en los nombres de usuario autenticados. MongoDB compara el nombre de usuario transformado con los DN LDAP.
Configure los agentes para usar {{mechanism}} para conectarse a su implementación de MongoDB.
IMPORTANTE: Recuerde que Cloud Manager limita a los agentes a utilizar un solo mecanismo por implementación.
Selecciona la opción {{mechanism}} en la sección Agent Auth Mechanism.
Proporcione las credenciales para el agente MongoDB:
ConfiguraciónValorMongoDB Agent Username
Introduzca el nombre de usuario LDAP.
MongoDB Agent Password
Introduce la contraseña del nombre de usuario LDAP del agente.
MongoDB Agent LDAP nombre distinguido
Si habilitó la Autorización LDAP, ingrese el DN del grupo del cual es miembro el usuario del Agente MongoDB.
Haga clic en Save Settings.
IMPORTANTE: Mientras guardas la configuración con una nueva contraseña, MongoDB prueba ambas contraseñas. Después de completar este procedimiento, podrás cambiar la contraseña en tu servidor LDAP. Después de rotar la contraseña en el lado del servidor LDAP, traslada el contenido del campo New Query Password al campo Query Password y deja vacío el campo New Query Password.
Crear roles de MongoDB para grupos LDAP. (opcional)
Después de activar la autorización LDAP, debe crear roles personalizados de MongoDB para cada Grupo LDAP que haya especificado para la autorización LDAP.