Ops Manager te permite configurar los Mecanismos de Autenticación que todos los clientes, incluidos los Agentes de Ops Manager, utilizan para conectarse a tus implementaciones de MongoDB. Puedes habilitar varios mecanismos de autenticación para cada uno de tus proyectos, pero debes elegir solo un mecanismo para los Agentes.
MongoDB admite Certificado X.509 autenticación para su uso con una segura Conexión TLS. La autenticación de clientes X.509 permite que los clientes se autentiquen en los servidores con certificados en lugar de con un nombre de usuario y una contraseña.
Nota
Con la automatización, Ops Manager gestiona por ti la autenticación del MongoDB Agent. Para obtener más información sobre la autenticación, consulte Activar la autenticación x.509 para su Proyecto de Ops Manager.
Considerations
Una descripción completa de la seguridad de la capa de transporte, la infraestructura de clave pública, los certificadosX.509 y las autoridades de certificación excede el alcance de este tutorial. Este tutorial presupone conocimientos previos de TLS y acceso a certificados X.509 válidos.
Requisitos previos
Para habilitar509 la autenticación X. para Ops Manager, debe obtener certificados TLS válidos generados y firmados por una única autoridad de certificación (CA). Para obtener más información sobre los requisitos de los certificados, consulte Certificado de cliente x.509 en el Manual de MongoDB.
La autenticación de certificados de cliente X.509 requiere que habilites y configures TLS para la implementación.
Procedimientos
Este tutorial asume que ya ha configurado su implementación de MongoDB para utilizar la autenticación de certificados X.509 y TLS. Si no lo has hecho, consulta los tutoriales Usar certificados X.509 para autenticar clientes y Configurar mongod y mongos para TLS.
Crear un usuario de MongoDB desde X.509 subject
Cuando la Automatización está activada, Ops Manager gestiona la autenticación del MongoDB Agent.
Para configurar X.509 para la autenticación del agente de MongoDB, consulte Habilitar la autenticación de certificados de cliente x.509 para su proyecto de Ops Manager.
Para que el MongoDB Agent se conecte a tu implementación de MongoDB, debes crear un usuario de MongoDB en tu implementación que corresponda al valor subject de tu certificado de cliente.
Dónde crear el usuario de MongoDB depende de si utilizas o no autorización LDAP.
Nota
A partir de MongoDB 8.0, La autenticación y autorización LDAP está en desuso. La funcionalidad está disponible y seguirá funcionando sin cambios durante toda la vida útil de MongoDB 8. LDAP será retirado en una futura versión importante.
Para más detalles, consulta Obsolescencia de LDAP.
Si utiliza la autorizacion LDAP en su implementación de MongoDB, debe crear un usuario LDAP y un grupo LDAP para el MongoDB Agent en el servidor LDAP. Después de crear el usuario y grupo de LDAP, asigna el grupo de LDAP a un rol de MongoDB en la base de datos admin de tu implementación.
Advertencia
Al utilizar la autorizacion LDAP, no crear ningún usuario de MongoDB en la base de datos $external. MongoDB 3.4 y posteriores no se inician si existe un usuario MongoDB en la base de datos $external y la autorizacion LDAP está habilitada.
Para el usuario de MongoDB que representa al Agente de MongoDB:
Cree un nuevo usuario LDAP en su servidor LDAP que use el valor
subjectde su certificado de cliente como nombre de usuario.Cree un grupo LDAP cuyo nombre coincida con el rol del MongoDB Agent.
Cree el rol del agente MongoDB en su base de datos
admincon los permisos adecuados.Nota
Cuando se activa la automatización, Automation automáticamente crea un rol para el usuario del MongoDB Agent para la autenticación LDAP.
Asigne el usuario LDAP al grupo LDAP.
Tip
Para aprender a: | Ver |
|---|---|
Crear un usuario LDAP | Documentación para su implementación LDAP. |
Crear un grupo LDAP | Documentación para su implementación LDAP. |
Asigna los roles adecuados para el MongoDB Agent | |
Asignar un grupo LDAP y un rol de MongoDB | sección Roles LDAP de la página autorizacion LDAP en el manual de MongoDB. |
Configure la autorizacion LDAP sin la automatización Ops Manager | Página autorizacion LDAP en el manual de MongoDB. |
Si no utiliza la autorización LDAP, debe agregar el subject valor de su certificado de cliente como nombre de usuario del Agente de MongoDB en la $external base de datos de su implementación de MongoDB. Sin la autorización LDAP, MongoDB utiliza la $external base de datos para autenticar a un usuario con X..509
Nota
Para descubrir los roles apropiados para el MongoDB Agent, accede a: Required Access for MongoDB Agent.
Utiliza los siguientes comandos para crear los usuarios desde mongosh:
db.getSiblingDB("$external").createUser( { user : "<x.509 subject>", roles : [ { role : "clusterAdmin", db : "admin" }, { role : "readWriteAnyDatabase", db : "admin" }, { role : "userAdminAnyDatabase", db : "admin" }, { role : "dbAdminAnyDatabase", db : "admin" }, { role : "backup", db : "admin" }, { role : "restore", db : "admin" } ] } )
Para aprender qué acceso se requiere, consulte Acceso requerido para MongoDB Agent.
Cada usuario de MongoDB debe tener su propio certificado X.509.
Editar el archivo de configuración de MongoDB Agent
Para utilizar la autenticación X.509, debe configurar el Agente MongoDB para TLS:
Especifique la ruta absoluta del archivo a su certificado CA confiable en el archivo de configuración del MongoDB Agent.
Si ha activado TLS para su implementación del Ops Manager, debe configurar el MongoDB Agent para usar TLS. Para configurar el MongoDB Agent para usar TLS, debe tener el certificado de la Autoridad de Certificación de confianza que firmó el certificado de la instancia de MongoDB.
En el directorio de instalación de MongoDB Agent, edita el archivo de configuración para establecer el campo httpsCAFile con la ruta de un archivo que contenga uno o más certificados en formato PEM.
La ubicación del archivo de configuración de MongoDB Agent es C:\MMSData\Automation\automation-agent.config.
Nota
El archivo de configuración del MongoDB Agent se llama automation-agent.config como una forma de facilitar las actualizaciones para quienes utilizan agentes antiguos.
La ubicación del archivo de configuración de MongoDB Agent es /etc/mongodb-mms/automation-agent.config.
Nota
El archivo de configuración del MongoDB Agent se llama automation-agent.config como una forma de facilitar las actualizaciones para quienes utilizan agentes antiguos.
La ubicación del archivo de configuración de MongoDB Agent es /etc/mongodb-mms/automation-agent.config.
Nota
El archivo de configuración del MongoDB Agent se llama automation-agent.config como una forma de facilitar las actualizaciones para quienes utilizan agentes antiguos.
La ubicación del archivo de configuración de MongoDB Agent es /path/to/install/local.config.
Ejemplo
Utiliza el siguiente comando para conectar a través de mongosh:
mongosh --tls --tlsCAFile /etc/ssl/ca.pem example.net:27017
Luego, modifica el archivo de configuración y establece el siguiente par clave/valor:
httpsCAFile=/etc/ssl/ca.pem
Guarda el archivo de configuración.
Para obtener más información sobre estas configuraciones, consulte Configuración de TLS de Ops Manager.
Configurar MongoDB Agent para usar TLS ofrece más detalles sobre cómo configurar el MongoDB Agent para TLS.
Después de configurar el MongoDB Agent, configure el mecanismo de autenticación X.509 en la interfaz de Ops Manager, tal como se describe en Habilite la autenticación x.509 para su Proyecto de Ops Manager.