Cloud Manager le permite configurar los mecanismos de autenticación que todos los clientes, incluidos los agentes de Cloud Manager, utilizan para conectarse a sus implementaciones de MongoDB. Puede habilitar varios mecanismos de autenticación para cada proyecto, pero solo debe elegir uno para los agentes.
MongoDB admite la autenticación de certificados de cliente y miembro x.509 para su uso con un servidor seguro. Conexión TLS/SSL. La509 autenticación x. permite a los usuarios y a otros miembros autenticarse en los servidores con certificados, en lugar de con un nombre de usuario y una contraseña.
Requisitos previos
Importante
Una descripción completa de la seguridad de la capa de transporteLainfraestructura de clave pública, los certificadosX.509 y las autoridades de certificación exceden el alcance de este tutorial. Este tutorial presupone conocimientos previos de TLS y acceso a certificados X.509 válidos.
Procedimientos
Estos procedimientos describen cómo configurar y habilitar509 la autenticación x. al usar Automation. Si Cloud Manager no administra sus agentes, debe configurarlos manualmente para que usen la509 autenticación x..
Nota
Para obtener más información,consulte Configurar el agente MongoDB para la509 autenticación X..
Preparar una implementación existente para la autenticación de certificados x.509
Importante
La autenticación con certificado de cliente x.509 requiere TLS/SSL. Si Cloud Manager administra una o más implementaciones existentes, TLS/SSL debe estar habilitado en cada proceso de la implementación de MongoDB antes de habilitar la autenticación x.509.
Nota
Si TLS/SSL ya está habilitado, puede omitir este procedimiento.
En MongoDB Cloud Manager, vaya a Processes Página para su proyecto.
Si aún no se muestra, seleccione la organización que contiene su proyecto deseado en el menú Organizations de la barra de navegación.
Si aún no aparece, selecciona el proyecto deseado en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Processes en la sección Database.
Se muestra la página Procesos.
Establecer las opciones de inicio de TLS/SSL.
Haga clic en Add Option para agregar cada una de las siguientes opciones:
OpciónRequeridoValorRequerido
Seleccione
requireTLS.Requerido
Proporcione la ruta absoluta al certificado del servidor.
Requerido
Opcional
Después de agregar cada opción, haga clic en Add.
Cuando haya agregado las opciones necesarias, haga clic en Save.
Configurar una implementación existente para la autenticación del certificado de miembro x.509
Nota
Este procedimiento es opcional. Permite a los miembros de un set de réplicas o clúster usar también certificados x.509 para autenticarse entre sí. Si no está configurado, los miembros de set de réplicas y clúster aún pueden autenticarse entre sí usando autenticación keyFile.
Advertencia
Este procedimiento es irreversible
Si habilita la autenticación del certificado de miembro x.509 para cualquier implementación en un proyecto, no podrá deshabilitar la autenticación del certificado de miembro x.509 para la implementación ni deshabilitar la autenticación del cliente x.509 en el nivel del proyecto.
Habilitar la autenticación con certificado de miembro x.509 para una implementación de un proyecto no habilita ni requiere la autenticación con certificado de miembro x.509 para otras implementaciones del proyecto. Opcionalmente, puede habilitar que todas las demás implementaciones del proyecto utilicen la autenticación con certificado de miembro x.509.
En MongoDB Cloud Manager, ir a la página Processes del proyecto.
Si aún no se muestra, seleccione la organización que contiene su proyecto deseado en el menú Organizations de la barra de navegación.
Si aún no aparece, selecciona el proyecto deseado en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Processes en la sección Database.
Se muestra la página Procesos.
Cuando haya configurado las opciones TLS/SSL para cada proceso implementado, puede proceder a habilitar la509 autenticación x. para su proyecto de Cloud Manager.
Habilite la autenticación del certificado de cliente x.509 para su proyecto de Cloud Manager
En MongoDB Cloud Manager, ir a la página Security del proyecto.
Si aún no se muestra, seleccione la organización que contiene su proyecto deseado en el menú Organizations de la barra de navegación.
Si aún no aparece, selecciona el proyecto deseado en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Security en la sección Database.
Se muestra la página de Seguridad.
Vaya al Security Settings cuadro de diálogo para su implementación.
Realice una de las siguientes acciones:
Si es la primera vez que configura TLS, autenticación o autorización para este proyecto, haga clic Get Started en.
Si ya ha configurado la autenticación TLS o las configuraciones de autorización para este proyecto, haga clic Edit en.
Especifique la configuración deTLS.
Campo | Acción | ||||
|---|---|---|---|---|---|
Seguridad de capa de transporte de implementación de MongoDB (TLS) | Cambie este control deslizante a ON. | ||||
Ruta de archivo CA TLS | El archivo de la autoridad de certificación TLS es un archivo de certificado con formato que contiene la cadena de certificados raíz de la autoridad de certificación. El agente de MongoDB utiliza este mismo archivo de autoridad de certificación para conectarse a todos los elementos de su implementación. La clave privada Escriba la ruta del archivo de la autoridad de certificación TLS en cada host que ejecute un proceso MongoDB:
Esto habilita la configuración para los procesos MongoDB en el Haz clic en Validate para probar que cada host en tu implementación tenga una autoridad certificadora TLS en las rutas que especificaste. | ||||
Modo de certificado de cliente | Seleccione si las aplicaciones cliente o los agentes de MongoDB deben presentar un certificado TLS al conectarse a implementaciones de MongoDB con TLS habilitado. Cada implementación de MongoDB comprueba si estos hosts cliente tienen certificados al intentar conectarse. Si decide requerir los certificados TLS del cliente, asegúrese de que sean válidos. Los valores aceptados son:
|
Configurar los ajustes de autorización LDAP.
Importante
A partir de MongoDB 3.4, puede autenticar usuarios mediante certificados LDAP, Kerberos y X.509 sin necesidad de documentos de usuario locales en la base de datos $external, siempre que habilite primero la autorización LDAP. Cuando un usuario se autentica correctamente, MongoDB realiza una consulta al servidor LDAP para recuperar todos los grupos que posee y los transforma en sus roles equivalentes de MongoDB.
Omita este paso si no desea habilitar la autorización LDAP.
Introduzca valores para los siguientes campos:
ConfiguraciónValorLDAP Authorization
Cambie a ON para habilitar la autorización LDAP.
Authorization Query Template
Especifique una plantilla para una URL de consulta LDAP para recuperar una lista de grupos LDAP para un usuario LDAP.
Configurar {{mechanism}} para los agentes.
Puede habilitar más de un mecanismo de autenticación para su implementación de MongoDB, pero los agentes de Cloud Manager solo pueden usar uno. Seleccione {{mecanismo}} para conectarse a su implementación de MongoDB.
Seleccione la opción {{mecanismo}} de la sección Agent Auth Mechanism.
Proporcione credenciales para el agente MongoDB:
ConfiguraciónValorMongoDB Agent Username
Introduzca el nombre distinguido LDAPv3 derivado del archivo de clave PEM del agente.
MongoDB Agent Certificate File
Proporcione la ruta y el nombre del archivo de clave PEM del agente en el servidor en la línea correspondiente al sistema operativo apropiado.
MongoDB Agent Certificate Password
Proporcione la contraseña del archivo de clave PEM si está cifrado.
Crear roles de MongoDB para grupos LDAP (opcional).
Después de habilitar la autorización LDAP, debe crear roles MongoDB personalizados para cada grupo LDAP que haya especificado para la autorización LDAP.