Overview
Nota
La autenticación GSSAPI solo está disponible en MongoDB Enterprise Edition.
El mecanismo de autenticación de la Interfaz de Programación de Aplicaciones de Servicios de Seguridad Genéricos (GSSAPI) te permite utilizar tu nombre principal de Kerberos para autenticarte en una implementación de MongoDB configurada para autenticación Kerberos.
Para usar Kerberos desde el controlador C++, tu implementación de MongoDB debe estar previamente configurada para la autenticación Kerberos, y el host de tu aplicación debe poder obtener credenciales Kerberos.
Marcadores de posición de código
El ejemplo de código en esta página utiliza los siguientes marcadores de posición:
<kerberos_principal>: Su principal de Kerberos para autenticarse.<hostname>Un nombre de dominio completamente calificado (FQDN) de un hostmongodomongosen tu implementación. Kerberos requiere FQDN en lugar de direcciones IP o nombres cortos de hosts para una correcta resolución del realm.<port>Número de puerto de su implementación de MongoDB. Si omite este parámetro, MongoDB usa el número de puerto predeterminado (27017).
Para utilizar el ejemplo de código en esta página, reemplace estos marcadores de posición con sus propios valores.
Nota
Cuando inserta <kerberos_principal> en una URI de conexión MongoDB, debe codificar en porcentaje el carácter @ como %40.
Uso de la autenticación GSSAPI en su aplicación
Antes de poder utilizar el mecanismo de autenticación Kerberos con el driver de C++, debes configurar la implementación de MongoDB para utilizar Kerberos. Para configurar tu implementación, consulta la Documentación del protocolo Kerberos en MongoDB Server y completar los pasos que se describen allí.
Nota
Para autenticarse con GSSAPI, debe compilar el controlador C de MongoDB con compatibilidad con SASL. Si compila el controlador desde el código fuente, puede habilitar la compatibilidad con SASL con la opción ENABLE_SASL cmake.
Después de configurar su implementación, complete los siguientes pasos para autenticarse mediante GSSAPI:
Obtener un boleto que otorga boletos
En entornos Unix, primero debes ejecutar el comando kinit para obtener y almacenar en caché un ticket inicial de concesión de tickets. Si trabajas en un entorno Windows, puedes pasar al siguiente paso.
El siguiente ejemplo usa el comando kinit para obtener un ticket de concesión de tickets para el principal mongodbuser@EXAMPLE.COM. A continuación, utiliza el comando klist para mostrar el usuario principal y el ticket en la caché de credenciales.
kinit mongodbuser@EXAMPLE.COM mongodbuser@EXAMPLE.COM's Password: klist Credentials cache: FILE:/tmp/krb5cc_1000 Principal: mongodbuser@EXAMPLE.COM Issued Expires Principal Feb 9 13:48:51 2013 Feb 9 23:48:51 2013 krbtgt/mongodbuser@EXAMPLE.COM
Configura las opciones de conexión
A continuación, configure las siguientes opciones de conexión:
kerberos_principal: El principal de Kerberos para autenticar.authMechanism:Establecer en"GSSAPI".authMechanismProperties: opcional. Por defecto, MongoDB utilizamongodbcomo nombre del servicio de autenticación. Para especificar un nombre de servicio diferente, configure esta opción en"SERVICE_NAME: <authentication service name>".
Puedes establecer estas opciones mediante parámetros en tu URI de conexión, como se muestra en el siguiente ejemplo:
auto uri = mongocxx::uri("mongodb://<kerberos_principal>@<hostname>:<port>/?" "authMechanism=GSSAPI" "&authMechanismProperties=SERVICE_NAME:<authentication service name>"); auto client = mongocxx::client(uri);
Nota
Debe reemplazar el símbolo @ en el principal con %40, como se muestra en el ejemplo anterior.
Documentación de la API
Para obtener más información sobre cómo crear un objeto mongocxx::client en el controlador C++, consulte la siguiente documentación de API: