Ops Manager te permite configurar los Mecanismos de Autenticación que todos los clientes, incluidos los Agentes de Ops Manager, utilizan para conectarse a tus implementaciones de MongoDB. Puedes habilitar varios mecanismos de autenticación para cada uno de tus proyectos, pero debes elegir solo un mecanismo para los Agentes.
MongoDB soporta Certificado X.509 autenticación para su uso con una segura Conexión TLS. La autenticación de clientes X.509 permite que los clientes se autentiquen en los servidores con certificados en lugar de con un nombre de usuario y una contraseña.
Nota
Con la automatización, Ops Manager gestiona por ti la autenticación del MongoDB Agent. Para obtener más información sobre la autenticación, consulte Activar la autenticación x.509 para su Proyecto de Ops Manager.
Considerations
Una descripción completa de la Seguridad de la capa de transporte, Infraestructura de llave pública, certificados X.509, y Autoridades certificadoras excede el alcance de este tutorial. Este tutorial asume conocimientos previos de TLS y acceso a certificados X.509 válidos.
Requisitos previos
Para habilitar509 la autenticación X. para Ops Manager, debe obtener certificados TLS válidos que hayan sido generados y firmados por una única autoridad certificadora (CA). Para obtener más información sobre los requisitos de los certificados, consulta Certificado Cliente x.509 en el Manual de MongoDB.
La autenticación de certificados de cliente X.509 requiere que habilites y configures TLS para la implementación.
Procedimientos
Este tutorial asume que ya ha configurado su implementación de MongoDB para utilizar la autenticación de certificados X.509 y TLS. Si no lo has hecho, consulta los tutoriales Usar certificados X.509 para autenticar clientes y Configurar mongod y mongos para TLS.
Cree un usuario de MongoDB desde X.509 subject
Seleccione su tipo de implementación para ver los pasos adecuados.
Editar el archivo de configuración de MongoDB Agent
Para utilizar la autenticación X.509, se debe configurar el MongoDB Agent para TLS:
Especifique la ruta absoluta del archivo a su certificado CA confiable en el archivo de configuración del MongoDB Agent.
Si ha activado TLS para su implementación del Ops Manager, debe configurar el MongoDB Agent para usar TLS. Para configurar el MongoDB Agent para usar TLS, debe tener el certificado de la Autoridad de Certificación de confianza que firmó el certificado de la instancia de MongoDB.
En el directorio de instalación de MongoDB Agent, edita el archivo de configuración para establecer el campo httpsCAFile con la ruta de un archivo que contenga uno o más certificados en formato PEM.
La ubicación del archivo de configuración de MongoDB Agent es C:\MMSData\Automation\automation-agent.config.
Nota
El archivo de configuración del MongoDB Agent se llama automation-agent.config como una forma de facilitar las actualizaciones para quienes utilizan agentes antiguos.
La ubicación del archivo de configuración de MongoDB Agent es /etc/mongodb-mms/automation-agent.config.
Nota
El archivo de configuración del MongoDB Agent se llama automation-agent.config como una forma de facilitar las actualizaciones para quienes utilizan agentes antiguos.
La ubicación del archivo de configuración de MongoDB Agent es /etc/mongodb-mms/automation-agent.config.
Nota
El archivo de configuración del MongoDB Agent se llama automation-agent.config como una forma de facilitar las actualizaciones para quienes utilizan agentes antiguos.
La ubicación del archivo de configuración de MongoDB Agent es /path/to/install/local.config.
Ejemplo
Utiliza el siguiente comando para conectar a través de mongosh:
mongosh --tls --tlsCAFile /etc/ssl/ca.pem example.net:27017
Luego, modifica el archivo de configuración y establece el siguiente par clave/valor:
httpsCAFile=/etc/ssl/ca.pem
Guarda el archivo de configuración.
Para obtener más información sobre estos ajustes, consulta Ajustes de TLS en el Ops Manager.
Configurar MongoDB Agent para usar TLS ofrece más detalles sobre cómo configurar el MongoDB Agent para TLS.
Después de configurar el MongoDB Agent, configure el mecanismo de autenticación X.509 en la interfaz de Ops Manager, tal como se describe en Habilite la autenticación x.509 para su Proyecto de Ops Manager.