Cloud Manager te permite configurar los mecanismos de autenticación que todos los clientes, incluidos los agentes de Cloud Manager, utilizan para conectarse a tus implementaciones de MongoDB. Puedes habilitar múltiples mecanismos de autenticación para cada uno de tus proyectos, pero debes elegir solo un mecanismo para los Agentes.
MongoDB admite la autenticación de certificados de cliente y miembro x.509 para su uso con un servidor seguro. Conexión TLS/SSL. La autenticación x.509 permite a los usuarios y otros nodos autenticarse en los servidores con certificados en lugar de con un nombre de usuario y contraseña.
Requisitos previos
Importante
Una descripción completa de Seguridad de la capa de transporte, infraestructura de llave pública, X.509 certificados, y Autoridades Certificadoras excede el alcance de este tutorial. Este tutorial asume un conocimiento previo de TLS y acceso a certificados X.509 válidos.
Procedimientos
Estos procedimientos describen cómo configurar y habilitar la autenticación x.509 al usar Automation. Si Cloud Manager no administra sus agentes, deberá configurarlos manualmente para que usen la autenticación x.509.
Nota
Para obtener más información,consulte Configurar el agente MongoDB para la autenticación X.509.
Preparar una implementación existente para la autenticación de certificados x.509
Importante
La autenticación con certificado de cliente x.509 requiere TLS/SSL. Si Cloud Manager administraunao másimplementaciones, TLS/SSL debe estar habilitado en cada proceso de la implementación de MongoDB antes de habilitar la autenticación x.509.
Nota
Si TLS/SSL ya está activado, puedes omitir este procedimiento.
En MongoDB Cloud Manager, vaya a Processes página para tu proyecto.
Si aún no se muestra, seleccione la organización que contiene su proyecto deseado en el menú Organizations de la barra de navegación.
Si aún no aparece, selecciona el proyecto deseado en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Processes en la sección Database.
Se muestra la página Procesos.
Configura las opciones de inicio TLS/SSL.
Haga clic en Add Option para agregar cada una de las siguientes opciones:
OpciónRequeridoValorRequerido
Seleccione
requireTLS.Requerido
Proporcione la ruta absoluta al certificado del servidor.
Requerido
Opcional
Seleccione
truesi desea habilitar el modo FIPS.Después de agregar cada opción, haga clic en Add.
Cuando haya agregado las opciones necesarias, haga clic en Save.
Configurar una implementación existente para la autenticación con certificado de nodo x.509
Nota
Este procedimiento es opcional. Permite a los miembros de un set de réplicas o clúster usar también certificados x.509 para autenticarse entre sí. Si no está configurado, los miembros de set de réplicas y clúster aún pueden autenticarse entre sí usando autenticación keyFile.
Advertencia
Este procedimiento es irreversible
Si activas la autenticación mediante certificado x.509 de nodo para cualquier implementación en un Proyecto, no puedes desactivar la autenticación mediante certificado x.509 para la implementación ni deshabilitar la autenticación de clientes x.509 a nivel de Proyecto.
Habilitar la autenticación de certificado de nodo x.509 para una implementación en un Proyecto no habilita ni requiere la autenticación de certificado de nodo x.509 para otras implementaciones en el Proyecto. Puedes habilitar opcionalmente que cada otra implementación en el Proyecto utilice la autenticación de certificado de nodo x.509.
En MongoDB Cloud Manager, ir a la página Processes del proyecto.
Si aún no se muestra, seleccione la organización que contiene su proyecto deseado en el menú Organizations de la barra de navegación.
Si aún no aparece, selecciona el proyecto deseado en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Processes en la sección Database.
Se muestra la página Procesos.
Cuando haya configurado las opcionesTLS/SSL para cada proceso implementado, puede proceder a habilitar la autenticación x.509 para su proyecto de Cloud Manager.
Active la autenticación de certificado de cliente x.509 para su proyecto de Cloud Manager
En MongoDB Cloud Manager, ir a la página Security del proyecto.
Si aún no se muestra, seleccione la organización que contiene su proyecto deseado en el menú Organizations de la barra de navegación.
Si aún no aparece, selecciona el proyecto deseado en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Security en la sección Database.
Se muestra la página de Seguridad.
Vaya al Security Settings cuadro de diálogo para su implementación.
Realice una de las siguientes acciones:
Si esta es la primera vez que configura TLS, autenticación o configuración de autorización para este proyecto, haz clic en Get Started.
Si ya se ha configurado la autenticación TLS, o la configuración de autorización para este proyecto, haga clic en Edit.
Especifique la configuración de TLS.
Campo | Acción | ||||
|---|---|---|---|---|---|
Seguridad de capa de transporte de implementación de MongoDB (TLS) | Active este control deslizante para ON. | ||||
Ruta de archivo CA TLS | El archivo de la Autoridad Certificadora TLS es un archivo de certificado en formato La clave privada cifrada para el archivo de certificado Escriba la ruta del archivo hasta el archivo de la Autoridad Certificadora TLS en cada host que ejecute un proceso de MongoDB:
Esto habilita la configuración para los procesos MongoDB en el Haz clic en Validate para probar que cada host en tu implementación tenga una autoridad certificadora TLS en las rutas que especificaste. | ||||
Modo de certificado de cliente | Seleccione si las aplicaciones cliente o los agentes de MongoDB deben presentar un certificado TLS al conectarse a implementaciones de MongoDB con TLS habilitado. Cada implementación de MongoDB comprueba si estos hosts cliente tienen certificados al intentar conectarse. Si decide requerir los certificados TLS del cliente, asegúrese de que sean válidos. Los valores aceptados son:
|
Configura los ajustes de autorizacion LDAP.
Importante
A partir de MongoDB 3.4, puedes autenticar a los usuarios utilizando LDAP, Kerberos y certificados X.509 sin necesidad de documentos de usuario locales en la base de datos $external, siempre que habilites primero la autorización LDAP. Cuando un usuario se autentica con éxito, MongoDB realiza una query al servidor LDAP para recuperar todos los grupos a los que ese usuario LDAP pertenece y transforma esos grupos en sus roles equivalentes en MongoDB.
Omita este paso si no desea habilitar la autorización LDAP.
Ingresa los valores para los siguientes campos:
ConfiguraciónValorLDAP Authorization
Cambia a ON para habilitar la autorización LDAP.
Authorization Query Template
Especifica una plantilla para una URL de query LDAP para recuperar una lista de grupos LDAP para un usuario LDAP.
Configurar {{mechanism}} para los agentes.
Puede habilitar más de un mecanismo de autenticación para su implementación de MongoDB, pero los agentes de Cloud Manager solo pueden usar uno. Seleccione {{mecanismo}} para conectarse a su implementación de MongoDB.
Selecciona la opción {{mechanism}} en la sección Agent Auth Mechanism.
Proporcione las credenciales para el agente MongoDB:
ConfiguraciónValorMongoDB Agent Username
Introduce el nombre distinguido LDAPv3 derivado del archivo clave PEM del agente.
MongoDB Agent Certificate File
Proporcione la ruta y el nombre del archivo de clave PEM del agente en el servidor en la línea correspondiente al sistema operativo apropiado.
MongoDB Agent Certificate Password
Proporcione la contraseña para el archivo de clave PEM si se cifró.
Crear roles de MongoDB para grupos LDAP. (opcional)
Después de activar la autorización LDAP, debe crear roles personalizados de MongoDB para cada Grupo LDAP que haya especificado para la autorización LDAP.