/ /

Asegurar con autenticación

Docs Home

/ /

Seguridad

Asegurar con autenticación

Asegurar con autenticación

Gestione la autenticación LDAP para su proyecto de Cloud Manager

Cloud Manager dejará de admitir la Automatización, la Copia de seguridad y la Supervisión para MongoDB 3.6 y 4.0 después del 30de agosto de 2024. Por favor actualiza tu implementación de MongoDB o migra a Atlas.

Nota

A partir de MongoDB 8.0, La autenticación y autorización LDAP está obsoleta. La funcionalidad está disponible y seguirá funcionando sin cambios durante toda la vida útil de MongoDB 8. LDAP será removido en una próxima versión importante.

Para más detalles, consulta Obsolescencia de LDAP.

Cloud Manager te permite configurar los mecanismos de autenticación que todos los clientes, incluidos los agentes de Cloud Manager, utilizan para conectarse a tus implementaciones de MongoDB. Puedes habilitar múltiples mecanismos de autenticación para cada uno de tus proyectos, pero debes elegir solo un mecanismo para los Agentes.

MongoDB Enterprise admite el proxy de solicitudes de autenticación a un servicio de Protocolo ligero de acceso a directorios (LDAP).

LDAP solo está disponible en compilaciones de MongoDB Enterprise. Si tienes implementaciones existentes ejecutándose en una versión Community de MongoDB, debes actualízalos a MongoDB Enterprise antes de habilitar LDAP para tu proyecto de Cloud Manager.

Considerations

MongoDB Enterprise admite el enlace simple y SASL a servidores de Protocolo Ligero de Acceso a Directorios (LDAP) a través de saslauthd y librerías del sistema operativo:

MongoDB Enterprise para Linux puede vincularse a un servidor LDAP ya sea mediante saslauthd o a través de las bibliotecas del sistema operativo.
MongoDB Enterprise para Windows puede vincularse a un servidor LDAP a través de las librerías del sistema operativo.

Para aprender a configurar LDAP y SASL, consulte las secciones Autenticación de proxy de LDAP y autorizacion LDAP en el manual de MongoDB.

Habilitar autenticación LDAP

Este procedimiento describe cómo configurar y habilitar la autenticación LDAP para implementaciones que utilizan Automatización.

En MongoDB Cloud Manager, ve a Security página para tu proyecto.

Si aún no se muestra, seleccione la organización que contiene su proyecto deseado en el menú Organizations de la barra de navegación.
Si aún no aparece, selecciona el proyecto deseado en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Security en la sección Database.

Se muestra la página de Seguridad.

Go to the cuadro de diálogo Security Settings para tu implementación.

Realice una de las siguientes acciones:

Si esta es la primera vez que configura TLS, autenticación o configuración de autorización para este proyecto, haz clic en Get Started.
Si ya se ha configurado la autenticación TLS, o la configuración de autorización para este proyecto, haga clic en Edit.

Especifique la configuración de TLS.

Campo	Acción
Seguridad de capa de transporte de implementación de MongoDB (TLS)	Active este control deslizante para ON.
Ruta del archivo CA de TLS	El archivo de la Autoridad Certificadora TLS es un archivo de certificado en formato `.pem`que contiene la cadena de certificados raíz de la Autoridad Certificadora. El Agente de MongoDB utiliza este mismo archivo de Autoridad Certificadora para conectarse a todos los elementos en tu implementación. La clave privada cifrada para el archivo de certificado `.pem` debe estar en PKCS n. °1 formato. El Agente de MongoDB no admite el formato PKCS #8. Escriba la ruta del archivo hasta el archivo de la Autoridad Certificadora TLS en cada host que ejecute un proceso de MongoDB: Escriba la ruta del archivo en todos los hosts Linux en el primer cuadro. Escriba la ruta del archivo en todos los hosts de Windows en la segunda casilla. Esto habilita la opción `net.tls.CAFile` para los procesos de MongoDB en el proyecto. Haz clic en Validate para probar que cada host en tu implementación tenga una autoridad certificadora TLS en las rutas que especificaste.
Modo de certificado de cliente	Seleciona si las aplicaciones cliente o los agentes de MongoDB deben presentar un certificado TLS al conectarse a una implementación de MongoDB habilitada para TLS. Cada implementación de MongoDB verifica los certificados de estos hosts clientes cuando intentan conectarse. Si opta por exigir los certificados TLS del cliente, asegúrese de que sean válidos. Los valores aceptados son: `Optional`: cada cliente puede presentar un TLS válido certificado al conectarse a implementaciones de MongoDB. Los agentes de MongoDB podrían usar certificados TLS si no configuras el `mongod` `tlsMode` a `None`. `Required`Cada implementación de MongoDB en este Proyecto comienza con conexiones de red TLScifradas. Todos los agentes deben usar TLS para conectarse a cualquier implementación de MongoDB.

Elige el mecanismo de autenticación.

Configura los ajustes de autorizacion LDAP. (opcional)

ADVERTENCIA: A partir de MongoDB 3.4, puede autenticar usuarios mediante LDAP, Kerberos o certificados X.509 sin requerir documentos de usuario locales en la base de datos $external siempre que active primero la autorizacion LDAP. Cuando un usuario de este tipo se autentica correctamente, MongoDB realiza una query contra el servidor LDAP para recuperar todos los grupos a los que pertenece ese usuario de LDAP y transforma esos grupos en sus roles equivalentes de MongoDB.

Omitir este paso si seleccionó Saslauthd en el paso anterior.

Si ha seleccionado Native LDAP Authentication, complete los siguientes pasos:

Proporciona los siguientes valores:

Configuración	Valor
Server URL	Especifica la `hostname:port` combinación de uno o más servidores LDAP.
transportSecurity	Selecciona `TLS` para cifrar tus consultas LDAP. Si no necesita cifrar las consultas LDAP, seleccione `None`.
Tiempo de espera (ms)	Especifica cuánto tiempo debe esperar una solicitud de autenticación antes de agotar el tiempo.
Método de enlace	Seleccione `SASL` o `Simple`. IMPORTANTE: Al elegir el método de vinculación `Simple`, selecciona `TLS` desde el Transport Security porque el método de vinculación `Simple` envía la contraseña en texto claro.
Mecanismos SASL	Especifica qué servicio de autenticación SASL utiliza MongoDB con el servidor LDAP.
Usuario de consulta (LDAP nombre distinguido)	Especifique el nombre distintivo de LDAP al que MongoDB se vincula al conectarse al servidor LDAP.
Query Password (LDAP Bind nombre distinguido)	Especifique la contraseña con la que MongoDB se conecta al conectarse a un servidor LDAP.
Intervalo de invalidación de la caché de usuario LDAP (s)	Establece cuánto tiempo espera MongoDB para vaciar la caché de usuarios de LDAP. Por defecto, son `30` segundos.
Mapeo de usuario a nombre distinguido	Especifica un arreglo de documentos JSON que proporcionen las transformaciones ordenadas que MongoDB realiza sobre los nombres de usuario autenticados de MongoDB. MongoDB entonces compara el nombre de usuario transformado con los DN de LDAP.
Validate LDAP Server Config	Selecciona `ON` para validar la configuración del servidor LDAP o `OFF` para omitir la validación. Si `ON` y la configuración no son válidos, la implementación de MongoDB no se iniciará.

En la sección LDAP Authorization, introduce valores para los siguientes campos:

Configuración	Valor
LDAP Authorization	Cambia a ON para habilitar la autorización LDAP.
Authorization Query Template	Especifica una plantilla para una URL de query LDAP para recuperar una lista de grupos LDAP para un usuario LDAP.
User to Distinguished Name Mapping	Especifica un arreglo de documentos JSON que proporcionen las transformaciones ordenadas que MongoDB realiza sobre los nombres de usuario autenticados de MongoDB. MongoDB entonces compara el nombre de usuario transformado con los DN de LDAP.

Configurar los Agentes para usar {{mechanism}} y conectarse a tu implementación de MongoDB.

IMPORTANTE: Recuerde que Cloud Manager limita a los agentes a utilizar un solo mecanismo por implementación.

Selecciona la opción {{mechanism}} en la sección Agent Auth Mechanism.

Proporcione las credenciales para el agente MongoDB:

Configuración	Valor
MongoDB Agent Username	Introduce el nombre de usuario LDAP.
MongoDB Agent Password	Introduce la contraseña del nombre de usuario LDAP del agente.
MongoDB Agent LDAP nombre distinguido	Si activó la autorizacion LDAP, introduzca el DN del grupo del que el usuario de MongoDB Agent es miembro.

Haga clic en Save Settings.

Haz clic en Review & Deploy para revisar tus cambios.

Haz clic en Confirm & Deploy para implementar tus cambios.

En caso contrario, haz clic en Cancel y podrás realizar cambios adicionales.

Crear roles de MongoDB para grupos LDAP. (opcional)

Después de activar la autorización LDAP, debe crear roles personalizados de MongoDB para cada Grupo LDAP que haya especificado para la autorización LDAP.

Si Cloud Manager no gestiona supervisión ni copia de seguridad, se deben configurar manualmente para que utilicen LDAP. Para configurar LDAP, consulta Configurar MongoDB Agent para LDAP.

Restablecer autenticación y configuraciones TLS

Nota

Para restablecer la autenticación y la configuración de TLS de tu proyecto, primero desadministra cualquier implementación de MongoDB que Cloud Manager administre en tu proyecto.

Rotar contraseñas de autenticación LDAP

Este procedimiento describe cómo rotar las credenciales de autenticación LDAP en implementaciones que usan Automatización.

En MongoDB Cloud Manager, ir a la página Security del proyecto.

Si aún no se muestra, seleccione la organización que contiene su proyecto deseado en el menú Organizations de la barra de navegación.
Si aún no aparece, selecciona el proyecto deseado en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Security en la sección Database.

Se muestra la página de Seguridad.

Go to the cuadro de diálogo Security Settings para tu implementación.

Realice una de las siguientes acciones:

Si esta es la primera vez que configura TLS, autenticación o configuración de autorización para este proyecto, haz clic en Get Started.
Si ya se ha configurado la autenticación TLS, o la configuración de autorización para este proyecto, haga clic en Edit.

Especifique la configuración de TLS.

Campo	Acción
Seguridad de capa de transporte de implementación de MongoDB (TLS)	Active este control deslizante para ON.
Ruta del archivo CA de TLS	El archivo de la Autoridad Certificadora TLS es un archivo de certificado en formato `.pem`que contiene la cadena de certificados raíz de la Autoridad Certificadora. El Agente de MongoDB utiliza este mismo archivo de Autoridad Certificadora para conectarse a todos los elementos en tu implementación. La clave privada cifrada para el archivo de certificado `.pem` debe estar en formato PKCS #1. MongoDB Agent no es compatible con el formato PKCS #8. Escriba la ruta del archivo hasta el archivo de la Autoridad Certificadora TLS en cada host que ejecute un proceso de MongoDB: Escriba la ruta del archivo en todos los hosts Linux en el primer cuadro. Escriba la ruta del archivo en todos los hosts de Windows en la segunda casilla. Esto habilita la opción `net.tls.CAFile` para los procesos de MongoDB en el proyecto. Haz clic en Validate para probar que cada host en tu implementación tenga una autoridad certificadora TLS en las rutas que especificaste.
Modo de certificado de cliente	Seleciona si las aplicaciones cliente o los agentes de MongoDB deben presentar un certificado TLS al conectarse a una implementación de MongoDB habilitada para TLS. Cada implementación de MongoDB verifica los certificados de estos hosts clientes cuando intentan conectarse. Si opta por exigir los certificados TLS del cliente, asegúrese de que sean válidos. Los valores aceptados son: `Optional`: cada cliente puede presentar un TLS válido certificado al conectarse a implementaciones de MongoDB. Los agentes de MongoDB podrían usar certificados TLS si no configuras el `mongod` `tlsMode` a `None`. `Required`Cada implementación de MongoDB en este Proyecto comienza con conexiones de red TLScifradas. Todos los agentes deben usar TLS para conectarse a cualquier implementación de MongoDB.

Elige el mecanismo de autenticación.

Rote las contraseñas de autorizacion LDAP. (opcional)

IMPORTANTE: Puedes autenticar usuarios utilizando LDAP, Kerberos, o certificados X.509 sin requerir documentos de usuario locales en la base de datos $external siempre que primero habilites la autorización LDAP. Cuando dicho usuario se autentica con éxito, MongoDB realiza una query contra el servidor LDAP para recuperar todos los grupos que posee ese usuario LDAP y convierte esos grupos en sus roles equivalentes en MongoDB.

Asegúrate de haber seleccionado Native LDAP Authentication y luego completa los siguientes pasos:

Proporciona los siguientes valores:

Configuración	Valor
Server URL	Especifica la `hostname:port` combinación de uno o más servidores LDAP.
transportSecurity	Selecciona `TLS` para cifrar tus consultas LDAP. Si no necesita cifrar las consultas LDAP, seleccione `None`.
Tiempo de espera (ms)	Especifica cuánto tiempo debe esperar una solicitud de autenticación antes de agotar el tiempo.
Método de enlace	Seleccione `SASL` o `Simple`. IMPORTANTE: Al elegir el método de vinculación `Simple`, selecciona `TLS` desde el Transport Security porque el método de vinculación `Simple` envía la contraseña en texto claro.
Mecanismos SASL	Especifica qué servicio de autenticación SASL utiliza MongoDB con el servidor LDAP.
Usuario de consulta (LDAP nombre distinguido)	Especifique el nombre distintivo de LDAP al que MongoDB se vincula al conectarse al servidor LDAP.
Query Password (LDAP Bind nombre distinguido)	Especifique la contraseña con la que MongoDB se conecta al conectarse a un servidor LDAP.
Nueva contraseña de consulta (LDAP nombre distinguido)	Especifique la nueva contraseña con la que MongoDB se conectará al conectarse a un servidor LDAP. Especificar una nueva contraseña en este campo te permitirá cambiar la contraseña de la query sin contratiempos. IMPORTANTE: Después de rotar la contraseña en el lado del servidor LDAP, cambia el contenido del campo New Query Password al campo Query Password y deja el campo New Query Password vacío.
Intervalo de invalidación de la caché de usuario LDAP (s)	Establece cuánto tiempo espera MongoDB para vaciar la caché de usuarios de LDAP. Por defecto, son `30` segundos.
Mapeo de usuario a nombre distinguido	Especifica un arreglo de documentos JSON que proporcionen las transformaciones ordenadas que MongoDB realiza sobre los nombres de usuario autenticados de MongoDB. MongoDB entonces compara el nombre de usuario transformado con los DN de LDAP.
Validate LDAP Server Config	Selecciona `ON` para validar la configuración del servidor LDAP o `OFF` para omitir la validación. Si `ON` y la configuración no son válidos, la implementación de MongoDB no se iniciará.

En la sección LDAP Authorization, introduce valores para los siguientes campos:

Configuración	Valor
LDAP Authorization	Cambia a ON para habilitar la autorización LDAP.
Authorization Query Template	Especifica una plantilla para una URL de query LDAP para recuperar una lista de grupos LDAP para un usuario LDAP.
User to Distinguished Name Mapping	Especifica un arreglo de documentos JSON que proporcionen las transformaciones ordenadas que MongoDB realiza sobre los nombres de usuario autenticados de MongoDB. MongoDB entonces compara el nombre de usuario transformado con los DN de LDAP.

Configurar los Agentes para usar {{mechanism}} y conectarse a tu implementación de MongoDB.

IMPORTANTE: Recuerde que Cloud Manager limita a los agentes a utilizar un solo mecanismo por implementación.

Selecciona la opción {{mechanism}} en la sección Agent Auth Mechanism.

Proporcione las credenciales para el agente MongoDB:

Configuración	Valor
MongoDB Agent Username	Introduce el nombre de usuario LDAP.
MongoDB Agent Password	Introduce la contraseña del nombre de usuario LDAP del agente.
MongoDB Agent LDAP nombre distinguido	Si activó la autorizacion LDAP, introduzca el DN del grupo del que el usuario de MongoDB Agent es miembro.

Haga clic en Save Settings.

IMPORTANTE: Mientras guardas la configuración con una nueva contraseña, MongoDB prueba ambas contraseñas. Después de completar este procedimiento, podrás cambiar la contraseña en tu servidor LDAP. Después de rotar la contraseña en el lado del servidor LDAP, traslada el contenido del campo New Query Password al campo Query Password y deja vacío el campo New Query Password.

Haz clic en Review & Deploy para revisar tus cambios.

Haz clic en Confirm & Deploy para implementar tus cambios.

En caso contrario, haz clic en Cancel y podrás realizar cambios adicionales.

Crear roles de MongoDB para grupos LDAP. (opcional)

Después de activar la autorización LDAP, debe crear roles personalizados de MongoDB para cada Grupo LDAP que haya especificado para la autorización LDAP.

Volver

Utilizar Nombre de Usuario/Contraseña

Use Kerberos

Nota

Considerations

Habilitar autenticación LDAP

En MongoDB Cloud Manager, ve a .leafygreen-ui-8n27nz{font-style:normal;font-weight:700;}Security página para tu proyecto.

Go to the cuadro de diálogo Security Settings para tu implementación.

Especifique la configuración de TLS.

Elige el mecanismo de autenticación.

Configura los ajustes de autorizacion LDAP. (opcional)

Configurar los Agentes para usar {{mechanism}} y conectarse a tu implementación de MongoDB.

Haga clic en Save Settings.

Haz clic en Review & Deploy para revisar tus cambios.

Haz clic en Confirm & Deploy para implementar tus cambios.

Crear roles de MongoDB para grupos LDAP. (opcional)

Restablecer autenticación y configuraciones TLS

Nota

Rotar contraseñas de autenticación LDAP

En MongoDB Cloud Manager, ir a la página Security del proyecto.

Go to the cuadro de diálogo Security Settings para tu implementación.

Especifique la configuración de TLS.

Elige el mecanismo de autenticación.

Rote las contraseñas de autorizacion LDAP. (opcional)

Configurar los Agentes para usar {{mechanism}} y conectarse a tu implementación de MongoDB.

Haga clic en Save Settings.

Haz clic en Review & Deploy para revisar tus cambios.

Haz clic en Confirm & Deploy para implementar tus cambios.

Crear roles de MongoDB para grupos LDAP. (opcional)

En MongoDB Cloud Manager, ve a Security página para tu proyecto.