MongoDB Enterprise ofrece soporte para Kerberos. Kerberos es un protocolo de autenticación de red. El MongoDB Agent puede autenticarse en instancias de MongoDB que ejecuten Kerberos.
Requisitos previos
Configura la KDC para emitir tickets con un tiempo de vida mínimo de cuatro horas
Los tickets de Kerberos pueden autenticar a los usuarios durante un tiempo limitado. Debes configurar el Centro de Distribución de Claves (KDC) de Kerberos para emitir tickets que sean válidos por cuatro horas o más. El agente de MongoDB renueva el ticket periódicamente. El El servicio KDC proporciona tickets de sesión y claves de sesión temporales a usuarios y hosts.
Agregar Kerberos como mecanismo de autenticación para la implementación
El MongoDB Agent interactúa con las bases de datos de MongoDB en tu implementación como lo haría un usuario de MongoDB. Como resultado, debe configurar su implementación de MongoDB y el MongoDB Agent para admitir la autenticación.
Puedes especificar los mecanismos de autenticación de la implementación cuando agregar la implementación, o puedes editar la configuración para una implementación existente. Como mínimo, la implementación debe habilitar el mecanismo de autenticación que desea que utilice el MongoDB Agent. El agente de MongoDB puede utilizar cualquier mecanismo de autenticacióncompatible.
Para los fines de este tutorial, verifique que su implementación cumpla estas condiciones:
Tu implementación admite la autenticación de Kerberos y
El agente de MongoDB utiliza autenticación Kerberos.
Para aprender a habilitar la autenticación Kerberos, consulta Habilita la autenticación Kerberos para tu proyecto de Ops Manager.
Configure el MongoDB Agent host para usar Kerberos
Los siguientes archivos de configuración de Kerberos se requieren en cualquier host que ejecute supervisión o copia de seguridad:
Cree o configure el krb5.conf Archivo de configuración de Kerberos.
PlataformaRuta por defectonotasLinux
/etc/krb5.confWindows
%WINDIR%\krb5.iniEsta es la ruta por defecto para implementaciones de Kerberos que no se basan en Active Directory. Consulta la documentación para tu implementación de Kerberos en tu versión de Windows para averiguar dónde se almacena el archivo de configuración de Kerberos.
En los sistemas Linux, asegúrese de que el archivo binario kinit esté ubicado en
/usr/bin/kinit.kinitobtiene o renueva un ticket de concesión de tickets de Kerberos, que autentica al Agente mediante Kerberos.
Procedimientos
Crea un principal de usuario de Kerberos para el MongoDB Agent
Cree o elija un Nombre Principal de Usuario de Kerberos (UPN) para el MongoDB Agent.
Un UPN se formatea en dos partes para que el servicio pueda ser identificado de manera única en todo el realm Kerberos:
Componente | Descripción |
|---|---|
Nombre del servicio | El nombre de un servicio que un host proporciona al realm de Kerberos, como |
Kerberos realm | Un conjunto de hosts y servicios administrados que comparten la misma base de datos de Kerberos. Según la convención de nomenclatura de Kerberos, el |
Ejemplo
En un dominio Kerberos establecido como EXAMPLE.COM, el MongoDB Agent configuraría su UPN en: mongodb-agent@EXAMPLE.COM
Genera un archivo keytab para el Kerberos UPN del Agente de MongoDB.
Genera un archivo keytab (*.keytab) para el MongoDB Agent UPN y cópialo al host que ejecuta el MongoDB Agent. Asegúrese de que el usuario del sistema operativo que ejecuta el MongoDB Agent sea el mismo usuario del sistema operativo que posee el archivo keytab.
Crear un usuario y asignar roles para el UPN de MongoDB Agent
Seleccione su tipo de implementación para ver los pasos adecuados.