Overview
MongoDB Enterprise Edition incluye mecanismos de autenticación que no están disponibles en MongoDB Community Edition. En esta guía, aprenderá a autenticarse en MongoDB mediante estos mecanismos. Para obtener más información sobre otros mecanismos de autenticación disponibles en MongoDB, consulte Mecanismos de autenticación.
Kerberos
La API de servicios de seguridad genéricos (GSSAPI) proporciona una interfaz para la autenticación Kerberos.
Nota
Para autenticarse con GSSAPI, debe compilar el controlador C de MongoDB con compatibilidad con SASL. Si compila el controlador desde el código fuente, puede habilitar la compatibilidad con SASL con ENABLE_SASL cmake opción.
Complete los siguientes pasos para autenticarse con GSSAPI:
Obtener un boleto que otorga boletos
En entornos Unix, primero debe ejecutar el comando kinit para obtener y almacenar en caché un ticket inicial de concesión de tickets. Si utiliza un entorno Windows, puede ir directamente al siguiente paso.
El siguiente ejemplo utiliza el comando kinit para obtener un ticket de concesión de tickets para el principal mongodbuser@EXAMPLE.COM. A continuación, utiliza el comando klist para mostrar el principal y el ticket en la caché de credenciales.
kinit mongodbuser@EXAMPLE.COM mongodbuser@EXAMPLE.COM's Password: klist Credentials cache: FILE:/tmp/krb5cc_1000 Principal: mongodbuser@EXAMPLE.COM Issued Expires Principal Feb 9 13:48:51 2013 Feb 9 23:48:51 2013 krbtgt/mongodbuser@EXAMPLE.COM
Establecer las opciones de conexión
A continuación, configure las siguientes opciones de conexión:
username:El principal Kerbos para autenticar.authMechanism:Establecer en"GSSAPI".authMechanismProperties: Opcional. De forma predeterminada, MongoDB usamongodbcomo nombre del servicio de autenticación. Para especificar un nombre de servicio diferente, configure esta opción como"SERVICE_NAME:<authentication service name>".
Puede configurar estas opciones a través de parámetros en su URI de conexión, como se muestra en el siguiente ejemplo:
const char *uri = "mongodb://mongodbuser%40EXAMPLE.COM@<hostname>:<port>/?authMechanism=GSSAPI&authMechanismProperties=SERVICE_NAME:<authentication service name>"); mongoc_client_t *client = mongoc_client_new(uri);
Nota
Debe reemplazar el símbolo @ en el principal con %40, como se muestra en el ejemplo anterior.
Importante
No se puede especificar un valor de propiedad que contenga la coma (,) como una opción de cadena de conexión authMechanismProperties, incluso cuando la coma esté codificada con porcentaje. Para especificar un valor de propiedad authMechanismProperties que contenga una coma, configure la opción mediante
Método mongoc_uri_set_mechanism_properties().
SASL SENCILLO
La Capa de Autenticación y Seguridad Simple (SASL), definida en la 4616RFC, es un mecanismo de autenticación de nombre de usuario y contraseña que se utiliza a menudo con TLS u otra capa de cifrado. Debe compilar el controlador C compatible con SASL para usar la autenticación SASL.
Importante
PLAIN SASL es un mecanismo de autenticación de texto sin cifrar. Recomendamos encarecidamente usar TLS/SSL con validación de certificados al usar PLAIN SASL para autenticarse en MongoDB.
Para autenticarse con SASL, configure la opción de conexión authMechanism en PLAIN. Puede configurar esta opción mediante un parámetro en su cadena de conexión, como se muestra en el siguiente ejemplo:
const char *uri = "mongodb://<username>:<password>@<hostname>:<port>/?authMechanism=PLAIN"); mongoc_client_t *client = mongoc_client_new(uri);
Documentación de la API
Para obtener más información sobre cómo autenticar su aplicación en el controlador C, consulte la siguiente documentación de API: