El operador de Kubernetes admite la administración de usuarios de bases de datos para implementaciones que se ejecutan con TLS y autenticación de clúster LDAP habilitados.
Considerations
La configuración para usuarios autenticados a través de LDAP depende de las plantillas de query de LDAP y de las asignaciones que establece MongoDB.
Para obtener más información, consulte las siguientes secciones en la documentación de MongoDB Server:
Mecanismos de autenticación admitidos
El operador de Kubernetes admite los mecanismos de autenticación SCRAM, LDAP, OpenID Connect y X.509 en las implementaciones que crea. En una implementación creada por el operador de Kubernetes, no se puede usar Ops Manager para:
Configura otros mecanismos de autenticación para las implementaciones.
Gestiona usuarios que no utilizan autenticación SCRAM, LDAP o X.509.
Requisitos previos
Antes de gestionar los usuarios de la base de datos, debes implementar un Conjunto de réplicas o clúster fragmentado con LDAP habilitado. Opcionalmente, puede habilitar TLS. Para obtener más información, consulte Proteger un recurso de base de datos.
Agregar un usuario de base de datos
Configurar kubectl para establecer su namespace por defecto.
Si aún no lo ha hecho, ejecute el siguiente comando para ejecutar todos los comandos de kubectl en el namespace que creó.
Nota
Si está implementando un recurso de Ops Manager en una implementación de MongoDB de un clúster de Kubernetes múltiple:
Defina
contextcomo el nombre del clúster operador, por ejemplo:kubectl config set context "$MDB_CENTRAL_CLUSTER_FULL_NAME".Establece el
--namespaceen el mismo ámbito que utilizaste para tu implementación de MongoDB de clústeres multi-Kubernetes, como por ejemplo:kubectl config --namespace "mongodb".
kubectl config set-context $(kubectl config current-context) --namespace=<metadata.namespace>
Copie el siguiente ejemplo CustomResourceDefinition.
apiVersion: mongodb.com/v1 kind: MongoDBUser metadata: name: ldap-user-1 spec: username: "uid=mdb0,dc=example,dc=org" db: "$external" mongodbResourceRef: name: ldap-replica-set roles: - db: "admin" name: "clusterAdmin" - db: "admin" name: "readWriteAnyDatabase" - db: "admin" name: "dbAdminAnyDatabase" ...
Abre tu editor de texto preferido y pega el ejemplo CustomResourceDefinition en un nuevo archivo de texto.
Cambie las líneas de los siguientes parámetros, según sea necesario.
Utilice la siguiente tabla como guía para cambiar las líneas relevantes en la Especificación de Recursos de Usuario de MongoDB. Para obtener una lista completa de la configuración de usuario LDAP, consulte la configuración de seguridad en la especificación de recursos de MongoDB del Operador de Kubernetes.
Clave | Tipo | Descripción | Ejemplo |
|---|---|---|---|
| string | El nombre del recurso para el usuario de la base de datos MongoDB. Los nombres de recursos deben tener 44 caracteres o menos. |
|
| string | El nombre de la base de datos MongoDB a la que se añadirán los usuarios. Este valor debe ser |
|
| string | El nombre del recurso de MongoDB al que está asociado este usuario. |
|
| string | El nombre del proyecto que contiene la base de datos MongoDB donde se agregará el usuario. La configuración |
|
| string | La base de datos sobre la que puede actuar el rol. |
|
| string | El nombre del rol que se otorgará al usuario de la base de datos. El nombre del rol puede ser cualquier rol integrado de MongoDB o un rol personalizado existente en Cloud Manager u Ops Manager. |
|
| string | El nombre de usuario autenticado asignado a un nombre distintivo (DN) LDAP según. El DN debe existir previamente en su Para obtener más información, consulte Plantillas de query LDAP en el manual de MongoDB. |
|
Agregue cualquier rol adicional para el usuario a la CustomResourceDefinition.
Puede otorgar roles adicionales a este usuario utilizando el formato definido en el siguiente ejemplo:
apiVersion: mongodb.com/v1 kind: MongoDBUser metadata: name: ldap-user-1 spec: username: "uid=mdb0,dc=example,dc=org" db: "$external" mongodbResourceRef: name: ldap-replica-set roles: - db: "admin" name: "clusterAdmin" - db: "admin" name: "readWriteAnyDatabase" - db: "admin" name: "dbAdminAnyDatabase" ...
Crea el usuario.
Invoca el siguiente comando de Kubernetes para crear tu usuario de base de datos:
kubectl apply -f <database-user-conf>.yaml
Los siguientes ejemplos ilustran los formatos de la cadena de conexión que se pueden utilizar al habilitar la autenticación con LDAP en las implementaciones de Kubernetes Operator MongoDB. Estos ejemplos utilizan el namespace mongodb y una implementación de set de réplicas llamada replica-set-ldap. Los ejemplos son similares para clústeres fragmentados.
connectionString.standard:Cadenade conexión estándar que puede conectarlo a la base de datos como este usuario de base de datos.mongodb://replica-set-ldap-0-0-svc.mongodb.svc.cluster.local/?connectTimeoutMS=20000&replicaSet=replica-set-ldap&serverSelectionTimeoutMS=20000&ssl=true&authSource=$external connectionString.standardSrv:Cadena de conexión de la lista desemillas DNS que puede conectarlo a la base de datos como este usuario de base de datos.mongodb+srv://replica-set-ldap-svc.mongodb.svc.cluster.local/?connectTimeoutMS=20000&replicaSet=replica-set-ldap&serverSelectionTimeoutMS=20000&ssl=true&authSource=$external
Utilizando los formatos mostrados previamente, puedes conectarte a la base de datos MongoDB con MongoDB Shell (mongosh), como se muestra en el siguiente ejemplo:
mongosh <connection-string> \ --host <my-replica-set>/web1.example.com \ --port 30907 \ --authenticationMechanism PLAIN \ --username cn=rob,cn=Users,dc=ldaps-01,dc=myteam,dc=com
Puedes utilizar estas credenciales para conectarte a un recurso de base de datos de MongoDB desde dentro de Kubernetes.
Eliminar un usuario de base de datos
Para borrar un usuario de base de datos, pasa el metadata.name del usuario ConfigMap al siguiente comando:
kubectl delete mdbu <metadata.name>