Docs Menu
Docs Home
/ /
X.509
Docs Home
/ /
Autenticación
/
X.509
Docs Home
/
Gestión
/
Seguridad
/
Usuarios
/
Autenticación
/
X.509

Utiliza X.509 para autenticar clientes en MongoDB autogestionado

El siguiente procedimiento configura la autenticación del certificado X.509 para la autenticación del cliente en un servidor independiente. mongod instancia. Esto también se conoce como TLS mutuo o mTLS.

Para utilizar la509 autenticación X. para conjuntos de réplicas o clústeres fragmentados, consulte Verificar la membresía del clúster con X.509 en MongoDB autoadministrado.

Requisitos previos

Una descripción completa de los certificados TLS/SSL, PKI (Infraestructura de Clave Pública), en particular los certificados X.509, y la autoridad de certificación queda fuera del alcance de este documento. Este tutorial presupone conocimientos previos de TLS/SSL y acceso a certificados X.509 válidos.

Autoridad de Certificación

Para uso en producción, la implementación de MongoDB debe utilizar certificados válidos generados y firmados por una autoridad certificadora. El usuario o la organización pueden generar y mantener una autoridad de certificación independiente, o utilizar certificados generados por proveedores de TLS de terceros. La obtención y gestión de certificados está fuera del alcance de esta documentación.

Para utilizar la autenticación X.509, se debe especificar --tlsCAFile o net.tls.CAFile a menos que utilice --tlsCertificateSelector o --net.tls.certificateSelector.

Certificado del cliente X.509

Debe tener certificados X.509 válidos. Los certificados X. de cliente509 deben cumplir los requisitos de certificado de cliente.

Si especifica --tlsAllowInvalidCertificates net.tls.allowInvalidCertificates: trueo, un certificado no válido solo es suficiente para establecer una conexión TLS, pero no es suficiente para la autenticación.

Procedimiento

1

Implemente con autenticación X.509

Puede configurar una instancia mongod para509 la autenticación X. desde la línea de comandos.

Para configurar una instancia independiente, ejecute el siguiente mongod comando:

mongod --tlsMode requireTLS \
    --tlsCertificateKeyFile <path to TLS/SSL certificate and key PEM file> \
    --tlsCAFile <path to root CA PEM file> --bind_ip <hostnames>

Incluya opciones adicionales según sea necesario para su configuración.

La configuración de X.509 requiere:

Opción
notas

--tlsMode

Especifique requireTLS.

--tlsCertificateKeyFile

Especifique el certificado X.509 de la instancia para presentar a los clientes.

--tlsCAFile

Especifique el archivo de autoridad de certificación para verificar los certificados presentados a la instancia.

Puede configurar un mongod para509 la autenticación X. en el archivo de configuración.

Para configurar una mongod instancia independiente, agregue las siguientes opciones de configuración a su archivo de configuración:

net:
   tls:
      mode: requireTLS
      certificateKeyFile: <path to TLS/SSL certificate and key PEM file>
      CAFile: <path to root CA PEM file>

Incluya opciones adicionales según sea necesario para su configuración.

La configuración de X.509 requiere:

Opción
notas

net.tls.mode

Especifique requireTLS.

net.tls.certificateKeyFile

Especifique el certificado X.509 de la instancia para presentar a los clientes.

net.tls.CAFile

Especifique el archivo de autoridad de certificación para verificar los certificados presentados a la instancia.

Para configurar la509 autenticación X. para conjuntos de réplicas o clústeres fragmentados, consulte Verificar la membresía del clúster con X.509 en MongoDB autoadministrado.

2

Agregar X.509 Certificado subject como Usuario

Para autenticarse con un certificado de cliente, primero debe agregar el valor subject del certificado de cliente como usuario de MongoDB a la base de datos $external. Cada certificado de cliente X.509 único corresponde a un único usuario de MongoDB. No se puede usar un solo certificado de cliente para autenticar a más de un usuario de MongoDB.

Nota

Requisitos de nombre de usuario

  • Para usar sesiones de cliente y garantías de coherencia causal con usuarios de autenticación $external (usuarios Kerberos, LDAP o X.509), los nombres de usuario no pueden superar los 10k bytes.

  • Los RDN en la cadena subject deben ser compatibles con el 2253 Estándar RFC.

  1. Puede recuperar el RFC2253 formateado subject del certificado del cliente con el siguiente comando:

    openssl x509 -in <pathToClientPEM> -inform PEM -subject -nameopt RFC2253

    El comando devuelve la cadena subject y el certificado:

    subject= CN=myName,OU=myOrgUnit,O=myOrg,L=myLocality,ST=myState,C=myCountry
    -----BEGIN CERTIFICATE-----
    # ...
    -----END CERTIFICATE-----

  2. Agregue el valor RFC2253 compatible con subject como usuario. Omita los espacios según sea necesario.

    El siguiente ejemplo agrega un usuario y le otorga el rol en readWrite la test base de datos y el userAdminAnyDatabase rol:

    db.getSiblingDB("$external").runCommand(
      {
        createUser: "CN=myName,OU=myOrgUnit,O=myOrg,L=myLocality,ST=myState,C=myCountry",
        roles: [
             { role: "readWrite", db: "test" },
             { role: "userAdminAnyDatabase", db: "admin" }
        ],
        writeConcern: { w: "majority" , wtimeout: 5000 }
      }
    )

    Consulte Administrar usuarios y roles en implementaciones autoadministradas para obtener detalles sobre cómo agregar un usuario con roles.

3

Autenticarse con un certificado X.509

Después de haber agregado el509 sujeto del certificado de cliente X. como usuario MongoDB correspondiente, puede autenticarse con el certificado de cliente:

Para autenticarse durante la conexión, ejecute el siguiente comando:

mongosh --tls --tlsCertificateKeyFile <path to client PEM file> \
    --tlsCAFile <path to root CA PEM file> \
    --authenticationDatabase '$external' \
    --authenticationMechanism MONGODB-X509
Opción
notas

--tls

--tlsCertificateKeyFile

Especifique el archivo X.509 del cliente.

--tlsCAFile

Especifique el archivo de autoridad de certificación para verificar el certificado presentado por la mongod instancia.

--authenticationDatabase

Especifique '$external'.

--authenticationMechanism

Especifique MONGODB-X509.

Puede conectarse sin autenticación y utilizar el db.auth() método para autenticarse después de la conexión.

Por ejemplo, si se usa mongosh,

  1. Conecte mongosh mongodal:

    mongosh --tls --tlsCertificateKeyFile <path to client PEM file> \
        --tlsCAFile <path to root CA PEM file>
    Opción
    notas

    --tls

    --tlsCertificateKeyFile

    Especifique el archivo X.509 del cliente.

    --tlsCAFile

    Especifique el archivo de autoridad de certificación para verificar el certificado presentado por la instancia mongod mongos o.

  2. Para autenticarse, usa el método db.auth() en la base de datos $external. En el campo mechanism, especifica "MONGODB-X509".

    db.getSiblingDB("$external").auth(
      {
        mechanism: "MONGODB-X509"
      }
    )

Próximos pasos

Para utilizar la509 autenticación X. para conjuntos de réplicas o clústeres fragmentados, consulte Verificar la membresía del clúster con X.509 en MongoDB autoadministrado.

Volver

X.509

Next

Kerberos

En esta página