Join us at MongoDB.local London on 7 May to unlock new possibilities for your data. Use WEB50 to save 50%.
Register now >
Docs Menu
Docs Home
/ /
Componentes del paquete MongoDB
Docs Home
/
Gestión
/
Instalación
/
Componentes del paquete MongoDB
Docs Home
/
Gestión
/
Instalación
/
Componentes del paquete MongoDB

mongoldap

MongoDB Enterprise

Nota

A partir de MongoDB 8.0, la autenticación y autorización de LDAP están obsoletas. LDAP está disponible y continuará operando sin cambios durante toda la vida útil de MongoDB 8. LDAP se eliminará en una futura versión principal.

Para obtener más detalles, consulte Desuso de LDAP.

Synopsis

MongoDB Enterprise proporciona mongoldap para probar las opciones de configuración de LDAP de MongoDB en un servidor LDAP en funcionamiento o un conjunto de servidores.

Para validar las opciones de LDAP en el archivo de configuración, establece la opción mongoldap --config en la ruta del archivo de configuración.

Para probar las opciones de configuración de LDAP, debes especificar un --user y --password. mongoldap simula la autenticación en un servidor MongoDB que se ejecuta con las opciones de configuración y credenciales proporcionadas.

mongoldap Devuelve un informe que incluye el éxito o el fracaso de cualquier paso del procedimiento de autenticación o autorización LDAP. Los mensajes de error incluyen información sobre errores específicos detectados y posibles consejos para resolverlos.

Al configurar las opciones relacionadas con la autorización LDAP, mongoldap ejecuta una consulta LDAP construida utilizando las opciones de configuración y el nombre de usuario proporcionados, y devuelve una lista de roles en la admin base de datos para los que el usuario está autorizado.

Puede usar esta información al configurar roles de autorización LDAP para el control de acceso de usuarios. Por ejemplo, use mongoldap para garantizar que su configuración permita a los usuarios con privilegios obtener los roles necesarios para realizar las tareas previstas. De igual forma, use mongoldap para garantizar que su configuración impida que los usuarios sin privilegios obtengan roles para acceder al servidor MongoDB o realizar acciones no autorizadas.

Al configurar las opciones relacionadas con la autenticación LDAP, utilice mongoldap para garantizar que la operación de autenticación funcione como se espera.

Ejecuta mongoldap desde la línea de comandos del sistema, no en mongosh.

Este documento ofrece una visión completa de todas las opciones de línea de comandos para mongoldap.

Instalación

La herramienta es mongoldap parte del paquete MongoDB Database Tools Extra y se puede instalar con MongoDB Server o como una instalación independiente.

Instala con el servidor

Para instalar como parte de una instalación de MongoDB Enterprise mongoldap Server:

  • Sigue las instrucciones para su plataforma: Instale MongoDB Enterprise servidor

  • Una vez completada la instalación, mongoldap y las otras herramientas incluidas están disponibles en la misma ubicación que el Servidor.

    Nota

    Para el asistente de instalación de Windows .msi, el Complete la opción de instalación incluye mongoldap.

Instalar como independiente

Para instalar mongoldap como instalación autónoma:

  • Sigue el enlace de descarga de MongoDB Enterprise Edition: MongoDB Enterprise Download Center

  • Seleccione su Platform (sistema operativo) del menú desplegable, luego seleccione el Package apropiado para su plataforma de acuerdo con la siguiente tabla:

    OS
    Paquete

    Linux

    tgz paquete

    Windows

    zip paquete

    macOS

    tgz paquete

  • Una vez descargado, descomprima el archivo y copie a una ubicación en su disco mongoldap duro.

    Tip

    Los usuarios de Linux y macOS pueden querer copiar mongoldap a una ubicación del sistema de archivos que esté definida en la variable de entorno $PATH, como /usr/bin. Esto permite hacer referencia a mongoldap directamente en la línea de comandos por su nombre, sin necesidad de especificar su ruta completa o navegar primero a su directorio principal. Consulta la guía de instalación de tu plataforma para más información.

Uso

Nota

Una descripción completa de LDAP o Active Directory está fuera del alcance de esta documentación.

Considere el siguiente archivo de configuración de muestra, diseñado para admitir la autenticación y autorización de LDAP a través de Active Directory:

security:
   authorization: "enabled"
   ldap:
      servers: "activedirectory.example.net"
      bind:
         queryUser: "mongodbadmin@dba.example.com"
         queryPassword: "secret123"
      userToDNMapping:
         '[
            {
               match : "(.+)",
               ldapQuery: "DC=example,DC=com??sub?(userPrincipalName={0})"
            }
         ]'
      authz:
         queryTemplate: "DC=example,DC=com??sub?(&(objectClass=group)(member:1.2.840.113556.1.4.1941:={USER}))"
setParameter:
   authenticationMechanisms: "PLAIN"

Puedes utilizar mongoldap para validar el archivo de configuración, lo que devuelve un informe del procedimiento. Debes especificar un nombre de usuario y una contraseña para mongoldap.

mongoldap --config=<path-to-config> --user="bob@dba.example.com" --password="secret123"

Si las credenciales proporcionadas son válidas y las opciones de LDAP en los archivos de configuración son válidas, la salida podría ser la siguiente:

Checking that an LDAP server has been specified...
[OK] LDAP server found
Connecting to LDAP server...
[OK] Connected to LDAP server
Parsing MongoDB to LDAP DN mappings..
[OK] MongoDB to LDAP DN mappings appear to be valid
Attempting to authenticate against the LDAP server...
[OK] Successful authentication performed
Checking if LDAP authorization has been enabled by configuration...
[OK] LDAP authorization enabled
Parsing LDAP query template..
[OK] LDAP query configuration template appears valid
Executing query against LDAP server...
[OK] Successfully acquired the following roles:
...

Comportamiento

A partir de MongoDB 5.1, mongoldap permite anteponer al servidor LDAP srv: y srv_raw:.

Si tu cadena de conexión especifica "srv:<DNS_NAME>", mongoldap verifica que "_ldap._tcp.gc._msdcs.<DNS_NAME>" exista para que SRV admita Active Directory. Si no se encuentra, mongoldap verifica que "_ldap._tcp.<DNS_NAME>" exista para SRV. Si no se puede encontrar un registro SRV, mongoldap te advertirá que uses "srv_raw:<DNS_NAME>" en su lugar.

Si tu cadena de conexión especifica "srv_raw:<DNS_NAME>", mongoldap realiza una consulta de registros SRV para "<DNS NAME>".

opciones

--config=<filename>, -f=<filename>

Especifica un archivo de configuración para las opciones de configuración en tiempo de ejecución. Estas opciones son equivalentes a las opciones de configuración de la línea de comandos. Consulta Opciones del archivo de configuración autogestionada para obtener más información.

mongoldap utiliza cualquier opción de configuración relacionada con autenticación de proxy LDAP autogestionado o autorización LDAP en implementaciones autogestionadas para probar la autenticación o autorización de LDAP.

Requiere especificar --user. Puede aceptar --password para probar la autenticación LDAP.

Asegúrese de que el archivo de configuración utilice codificación ASCII. La instancia mongoldap no es compatible con archivos de configuración con codificación no ASCII, incluido UTF-8.

--user=<string>

Nombre de usuario que utilizará al intentar la autenticación o autorización mongoldap LDAP.

--password=<string>

Contraseña de --user para mongoldap que se usará al intentar la autenticación con LDAP. No es necesario para la autorizacion LDAP.

--ldapServers=<host1>:<port>,<host2>:<port>,...,<hostN>:<port>

El servidor LDAP frente al cual el mongoldap autentica a los usuarios o determina qué acciones está autorizado un usuario a realizar en una base de datos determinada. Si el servidor LDAP especificado tiene alguna instancia replicada, puedes especificar el host y el puerto de cada servidor replicado en una lista delimitada por comas.

Si tu infraestructura LDAP particiona el directorio LDAP entre múltiples servidores LDAP, especifica un servidor LDAP o cualquiera de sus instancias replicadas para --ldapServers. MongoDB admite el seguimiento de remisiones LDAP según lo definido en RFC 4511 4.1.10. No utilices --ldapServers para enumerar todos los servidores LDAP de tu infraestructura.

Si no se establece, mongoldap no puede usar la autenticación o autorización de LDAP.

--ldapQueryUser=<string>

Disponible solamente en MongoDB Enterprise.

La identidad con la que mongoldap se vincula al conectarse o realizar queries en un servidor LDAP.

Solo es necesario si alguna de las siguientes condiciones es verdadera:

Debe utilizar --ldapQueryUser con --ldapQueryPassword.

Si no se establece, mongoldap no intentará conectarse al servidor LDAP.

Nota

Las implementaciones de MongoDB en Windows pueden usar --ldapBindWithOSDefaults en lugar de --ldapQueryUser y --ldapQueryPassword. No puedes especificar --ldapQueryUser y --ldapBindWithOSDefaults al mismo tiempo.

--ldapQueryPassword=<string | array>

Disponible solamente en MongoDB Enterprise.

La contraseña utilizada para enlazarse a un servidor LDAP al usar --ldapQueryUser. Debes utilizar --ldapQueryPassword con --ldapQueryUser.

Si no está configurado, mongoldap no intenta conectarse al servidor LDAP.

Puede configurar esta opción en un mongoldap en ejecución mediante setParameter.

El comando ldapQueryPassword setParameter acepta una string o un arreglo de strings. Si ldapQueryPassword se establece en un arreglo, MongoDB intenta cada contraseña en orden hasta que una funcione. Utiliza un arreglo de contraseñas para cambiar la contraseña de la cuenta LDAP sin tiempo de inactividad.

Nota

Las implementaciones de MongoDB en Windows pueden usar --ldapBindWithOSDefaults en lugar de --ldapQueryUser y --ldapQueryPassword. No puedes especificar --ldapQueryPassword y --ldapBindWithOSDefaults al mismo tiempo.

--ldapBindWithOSDefaults=<bool>

Por defecto: false

Disponible solo en MongoDB Enterprise para la plataforma Windows.

Permite que se autentique o se vincule utilizando sus credenciales de inicio de sesión de Windows al conectarse al servidor mongoldap LDAP.

Solo es requerido si:

Utiliza --ldapBindWithOSDefaults para reemplazar --ldapQueryUser y --ldapQueryPassword.

--ldapBindMethod=<string>

Por defecto: simple

Disponible solamente en MongoDB Enterprise.

El método se utiliza para autenticarse en mongoldap --ldapQueryUser un servidor LDAP. Úselo con y --ldapQueryPassword para conectarse al servidor LDAP.

--ldapBindMethod admite los siguientes valores:

Valor
Descripción

simple

mongoldap utiliza autenticación simple.

sasl

mongoldap Utiliza el protocolo SASL para la autenticación.

Si especificas sasl, puedes configurar los mecanismos SASL disponibles usando --ldapBindSaslMechanisms. mongoldap se utiliza por defecto el mecanismo DIGEST-MD5.

--ldapBindSaslMechanisms=<string>

Por defecto: DIGEST-MD5

Disponible solamente en MongoDB Enterprise.

Una lista separada por comas de los mecanismos SASL que mongoldap puede usar al autenticarse en el servidor LDAP. El mongoldap y el servidor LDAP deben acordar al menos un mecanismo. El mongoldap carga dinámicamente cualquier librería de mecanismos SASL instalada en la máquina host durante el tiempo de ejecución.

Instala y configura las librerías adecuadas para el mecanismo SASL seleccionado en ambos el mongoldap host y el servidor remoto LDAP host. Tu sistema operativo puede incluir ciertas librerías SASL por defecto. Consulta la documentación asociada a cada mecanismo SASL para obtener orientación sobre la instalación y configuración.

Si se utiliza el mecanismo SASL GSSAPI para la autenticación Kerberos en implementaciones autogestionadas, verifica lo siguiente en el host mongoldap:

Linux
Windows
Si se conecta a un servidor de Active Directory, la configuración de Kerberos de Windows genera automáticamente un ticket de concesión de tickets cuando el usuario inicia sesión en el sistema. Configure --ldapBindWithOSDefaults en true para permitir mongoldap que use las credenciales generadas al conectarse al servidor de Active Directory y ejecutar consultas.

Establece --ldapBindMethod en sasl para usar esta opción.

Nota

Para obtener una lista completa de los mecanismos SASL, se debe consultar el listado de IANA. Se debe consultar la documentación del servicio LDAP o Active Directory para identificar los mecanismos SASL compatibles con el servicio.

MongoDB no es una fuente de bibliotecas de mecanismos SASL, ni la documentación de MongoDB es una fuente definitiva para instalar o configurar cualquier mecanismo SASL. Para obtener documentación y soporte, consulte al proveedor o propietario de la biblioteca de mecanismos SASL.

Para obtener más información sobre SASL, consulte los siguientes recursos:

--ldapTransportSecurity=<string>

Por defecto: tls

Disponible solamente en MongoDB Enterprise.

Por defecto, mongoldap crea una conexión protegida TLS/SSL al servidor LDAP.

Para las implementaciones de Linux, debe configurar las opciones adecuadas de TLS en el archivo /etc/openldap/ldap.conf. El administrador de paquetes de su sistema operativo crea este archivo como parte de la instalación de MongoDB Enterprise, mediante la dependencia libldap. Consulte la documentación para TLS Options en la documentación ldap.conf de OpenLDAP para obtener instrucciones más completas.

Para la implementación de Windows, debe agregar los certificados CA del servidor LDAP a la herramienta de gestión de certificados de Windows. El nombre exacto y la funcionalidad de la herramienta pueden variar según la versión del sistema operativo. Consulte la documentación de su versión de Windows para obtener más información sobre la gestión de certificados.

Establece --ldapTransportSecurity a none para desactivar TLS/SSL entre mongoldap y el servidor LDAP.

Advertencia

La configuración --ldapTransportSecurity de a none mongoldap transmite información de texto sin formato y posiblemente credenciales entre y el servidor LDAP.

--ldapTimeoutMS=<int>

Por defecto: 10000

Disponible solamente en MongoDB Enterprise.

La cantidad de tiempo, en milisegundos, que mongoldap debe esperar para que un servidor LDAP responda a una solicitud.

Incrementar el valor de --ldapTimeoutMS puede evitar la falla de conexión entre el servidor MongoDB y el servidor LDAP, si la causa de la falla es un tiempo de espera de conexión. Disminuir el valor de --ldapTimeoutMS reduce el tiempo que MongoDB espera una respuesta del servidor LDAP.

--ldapUserToDNMapping=<string>

Disponible solamente en MongoDB Enterprise.

Asocia el nombre de usuario proporcionado a mongoldap para autenticación a un nombre distintivo (DN) de LDAP. Es posible que debas utilizar --ldapUserToDNMapping para transformar un nombre de usuario en un nombre distinguido de LDAP en los siguientes escenarios:

  • Realizar autenticación LDAP con enlace simple de LDAP, donde los usuarios se autentican en MongoDB con nombres de usuario que no son nombres distinguidos completos de LDAP.

  • Utilizando un LDAP authorization query template que requiere un nombre distinguido.

  • Transformando los nombres de usuario de los clientes que se autentican en Mongo DB utilizando diferentes mecanismos de autenticación, por ejemplo, X.509, kerberos) a un nombre distinguido completo de LDAP para su autorización.

--ldapUserToDNMapping espera una cadena JSON entre comillas que represente un arreglo ordenado de documentos. Cada documento contiene una expresión regular match y una plantilla substitution o ldapQuery utilizada para transformar el nombre de usuario entrante.

Cada documento en el arreglo tiene la siguiente forma:

{
  match: "<regex>"
  substitution: "<LDAP DN>" | ldapQuery: "<LDAP Query>"
}
Campo
Descripción
Ejemplo

match

Una expresión regular (regex) con formato ECMAScript para hacer coincidir con un nombre de usuario proporcionado. Cada sección entre paréntesis representa un grupo de captura de regex utilizado por substitution o ldapQuery.

"(.+)ENGINEERING" "(.+)DBA"

substitution

Una plantilla de formato de nombre distinguido (DN) de LDAP que convierte el nombre de autenticación que coincide con la expresión regular match en un DN de LDAP. Cada valor numérico encerrado entre llaves se reemplaza por el grupo de captura de expresión regular correspondiente extraído del nombre de usuario de autenticación mediante la expresión regular match.

El resultado de la sustitución debe ser una string escapada RFC4514.

"cn={0},ou=engineering, dc=example,dc=com"

ldapQuery

Una plantilla de formateo de queries LDAP que inserta el nombre de autenticación que coincide con la expresión regular match en un URI de query LDAP codificado, respetando RFC4515 y RFC4516. Cada valor numérico entre llaves se reemplaza por el correspondiente grupo de captura de regex extraído del nombre de usuario de autenticación mediante la expresión match. mongoldap ejecuta la query contra el servidor LDAP para recuperar el nombre distinguido LDAP del usuario autenticado. mongoldap requiere exactamente un resultado devuelto para que la transformación sea exitosa, o mongoldap omite esta transformación.

"ou=engineering,dc=example, dc=com??one?(user={0})"

Nota

Una explicación de RFC4514, RFC4515, RFC4516, o las consultas LDAP están excluidas de la documentación de MongoDB. Se debe revisar el RFC directamente o usar el recurso LDAP preferido.

Para cada documento del arreglo, debe usar substitution o ldapQuery. No puede especificar ambos en el mismo documento.

Al realizar la autenticación o autorización, mongoldap recorre cada documento del arreglo en el orden proporcionado, verificando el nombre de usuario de autenticación contra el filtro match. Si se encuentra una coincidencia, mongoldap aplica la transformación y utiliza el resultado para autenticar al usuario. mongoldap no verifica los documentos restantes en el arreglo.

Si el documento proporcionado no coincide con el nombre de autenticación proporcionado, mongoldap continúa a través de la lista de documentos para encontrar coincidencias adicionales. Si no se encuentran coincidencias en ningún documento, o la transformación que describe el documento falla, mongoldap devuelve un error.

mongoldap también devuelve un error si una de las transformaciones no puede evaluarse debido a fallos de red o de autenticación en el servidor LDAP. mongoldap rechaza la solicitud de conexión y no comprueba los documentos restantes en el arreglo.

A partir de MongoDB 5.0, --ldapUserToDNMapping acepta una string vacía "" o un arreglo vacío [ ] en lugar de un documento de mapeo. Si se proporciona una string vacía o un arreglo vacío a --ldapUserToDNMapping, MongoDB asignará el nombre de usuario autenticado como el nombre distinguido LDAP. Anteriormente, proporcionar un documento de mapeo vacío provocaba que el mapeo fallara.

Ejemplo

A continuación, se muestran dos documentos de transformación. El primer documento coincide con cualquier string que termine en @ENGINEERINGy coloca todo lo que proceda al sufijo en un grupo de captura de expresiones regulares. El segundo documento coincide con cualquier string que termine en @DBAy coloca todo lo que preceda al sufijo en un grupo de captura de expresiones regulares.

Importante

Debe pasar el arreglo a --ldapUserToDNMapping como una string.

"[
   {
      match: "(.+)@ENGINEERING.EXAMPLE.COM",
      substitution: "cn={0},ou=engineering,dc=example,dc=com"
   },
   {
      match: "(.+)@DBA.EXAMPLE.COM",
      ldapQuery: "ou=dba,dc=example,dc=com??one?(user={0})"
   }
]"

Un usuario con el nombre de usuario alice@ENGINEERING.EXAMPLE.COM coincide con el primer documento. El grupo de captura de regex {0} corresponde al string alice. La salida resultante es el nombre distinguido "cn=alice,ou=engineering,dc=example,dc=com".

Un usuario con el nombre de usuario bob@DBA.EXAMPLE.COM coincide con el segundo documento. El grupo de captura regex {0} corresponde a la string bob. El resultado final es la consulta LDAP "ou=dba,dc=example,dc=com??one?(user=bob)". mongoldap ejecuta esta query en el servidor LDAP, devolviendo el resultado "cn=bob,ou=dba,dc=example,dc=com".

Si --ldapUserToDNMapping no está configurado, mongoldap no aplica ninguna transformación al nombre de usuario cuando intenta autenticar o autorizar a un usuario en el servidor LDAP.

--ldapAuthzQueryTemplate=<string>

Disponible solamente en MongoDB Enterprise.

Una URL relativa de consulta LDAP formateada conforme a RFC4515 y RFC4516 que mongoldap se ejecuta para obtener los grupos LDAP a los que pertenece el usuario autenticado. La consulta es relativa al host o hosts especificados en --ldapServers.

En la URL, puede usar los siguientes tokens de sustitución:

Token de sustitución
Descripción

{USER}

Sustituye el nombre de usuario autenticado o el nombre de usuario transformed si se especifica un username mapping.

{PROVIDED_USER}

Sustituye el nombre de usuario proporcionado, es decir, antes de la autenticación o LDAP transformation.

Al crear la URL de consulta, asegúrese de que el orden de los parámetros LDAP respete RFC4516:

[ dn  [ ? [attributes] [ ? [scope] [ ? [filter] [ ? [Extensions] ] ] ] ] ]

Si su query incluye un atributo, mongoldap asume que la query recupera los DN de los cuales esta entidad es nodo.

Si la query no incluye un atributo, mongoldap asume que la query recupera todas las entidades de las que el usuario sea nodo.

Para cada nombre distinguido de LDAP devuelto por la consulta, mongoldap asigna al usuario autorizado un rol correspondiente en la base de datos admin. Si un rol en la base de datos admin coincide exactamente con el nombre distinguido, mongoldap otorga al usuario los roles y privilegios asignados a ese rol. Consulta el método db.createRole() para obtener más información sobre la creación de roles.

Ejemplo

Esta query LDAP devuelve cualquier grupo listado en el atributo memberOf del objeto de usuario LDAP.

"{USER}?memberOf?base"

Su configuración LDAP puede no incluir el atributo memberOf como parte del esquema de usuario, puede poseer un atributo diferente para el reporte de la pertenencia a grupos, o puede no rastrear la pertenencia a grupos a través de los atributos. Configure su query con respecto a su propia configuración única de LDAP.

Si no se configura, mongoldap no puede autorizar a los usuarios que utilizan LDAP.

Nota

Una explicación de RFC4515, RFC4516 o de las queries LDAP está fuera del alcance de la documentación de MongoDB. Se debe revisar el RFC directamente o usar el recurso LDAP preferido.

Volver

mongokerberos

Next

install_compass

En esta página