Join us at MongoDB.local London on 7 May to unlock new possibilities for your data. Use WEB50 to save 50%.
Register now >
Docs Menu
Docs Home
/ /
Asegurar con autenticación
Docs Home
/ /
Seguridad
/
Asegurar con autenticación
Docs Home
/
Gestión
/
Gerente de Operaciones
/
Seguridad
/
Asegurar con autenticación

Habilite la autenticación LDAP para su proyecto Ops Manager

Nota

Comenzando con MongoDB 8.0, La autenticación y autorización LDAP está obsoleta. La funcionalidad está disponible y seguirá funcionando sin cambios durante toda la vida útil de MongoDB 8. LDAP será removido en una próxima versión importante.

Para obtener más detalles, consulte Desuso de LDAP.

Ops Manager te permite configurar los Mecanismos de Autenticación que todos los clientes, incluidos los Agentes de Ops Manager, utilizan para conectarse a tus implementaciones de MongoDB. Puedes habilitar varios mecanismos de autenticación para cada uno de tus proyectos, pero debes elegir solo un mecanismo para los Agentes.

MongoDB Enterprise admite el proxy de solicitudes de autenticación a un servicio de Protocolo ligero de acceso a directorios (LDAP).

LDAP Solo está disponible en compilaciones de MongoDB Enterprise. Si tiene implementaciones ejecutándose en una compilación de MongoDB Community, debe actualícelos a MongoDB Enterprise antes de que pueda habilitar LDAP para su proyecto de Ops Manager.

Considerations

MongoDB Enterprise admite el enlace simple y SASL a servidores de Protocolo Ligero de Acceso a Directorios (LDAP) a través de saslauthd y librerías del sistema operativo:

  • MongoDB Enterprise para Linux puede vincularse a un servidor LDAP ya sea mediante saslauthd o, a partir de MongoDB 3.4, a través de las bibliotecas del sistema operativo.

  • A partir de la versión 3.4 de MongoDB, MongoDB Enterprise para Windows puede conectarse a un servidor LDAP a través de las librerías del sistema operativo.

Las secciones "Autenticación de proxy LDAP" y "Autorización LDAP" del manual de MongoDB ofrecen más información sobre LDAP y MongoDB. La configuración de LDAP y SASL queda fuera del alcance de este documento.

Procedimiento

Este procedimiento describe cómo configurar y habilitar la autenticación LDAP al usar Automation. Si Ops Manager no administra la supervisión ni la copia de seguridad, debe configurarlas manualmente para que usen LDAP. Para configurar LDAP, consulte Configurar el agente de MongoDB para LDAP.

Nota

Si deseas restablecer la autenticación y las configuraciones TLS para tu Proyecto, primero desvincula cualquier implementaciones de MongoDB que Ops Manager gestione en tu Proyecto.

1

Navega hasta el Security Settings diálogo de tu implementación.

  1. Si aún no se muestra, se debe seleccionar la organización que contiene el proyecto deseado en el menú Organizations de la barra de navegación.

  2. Si aún no se muestra, se debe seleccionar el proyecto deseado en el menú Projects de la barra de navegación.

  3. Si aún no se muestra, haz clic en Deployment en la barra lateral.

  1. Haz clic en la pestaña Security.

  2. Haz clic en la pestaña Settings.

  3. Realiza una de las siguientes acciones:

    • Si esta es la primera vez que configura TLS, autenticación o configuración de autorización para este proyecto, haz clic en Get Started.

    • Si ya se ha configurado la autenticación TLS, o la configuración de autorización para este proyecto, haga clic en Edit.

2

Opcional: Especifica la configuración TLS.

Campo
Acción

Seguridad de capa de transporte de implementación de MongoDB (TLS)

Active este control deslizante para ON.

Ruta de archivo CA TLS

El archivo de la Autoridad Certificadora TLS es un archivo de certificado en formato .pemque contiene la cadena de certificados raíz de la Autoridad Certificadora. El Agente de MongoDB utiliza este mismo archivo de Autoridad Certificadora para conectarse a todos los elementos en tu implementación.

La clave privada cifrada para el archivo de certificado .pem debe estar en PKCS n. °1formato. El agente MongoDB no admite el formato PKCS #.8

Escriba la ruta del archivo hasta el archivo de la Autoridad Certificadora TLS en cada host que ejecute un proceso de MongoDB:

  • Escriba la ruta del archivo en todos los hosts Linux en el primer cuadro.

  • Escriba la ruta del archivo en todos los hosts de Windows en la segunda casilla.

Esto habilita la configuración para los procesos MongoDB en el net.tls.CAFile proyecto.

Haz clic en Validate para probar que cada host en tu implementación tenga una autoridad certificadora TLS en las rutas que especificaste.

Ruta del archivo CA TLS del clúster

El archivo .pem que contiene la cadena de certificados raíz de la Autoridad de Certificación utilizada para validar el certificado presentado por un cliente que establece una conexión. Especifique el nombre del archivo .pem utilizando rutas relativas o absolutas. net.tls.clusterCAFile requiere que net.tls.CAFile esté configurado.

Si no especifica, el clúster utiliza net.tls.clusterCAFile el .pem archivo especificado en la net.tls.CAFile opción.

net.tls.clusterCAFile Le permite utilizar autoridades de certificación independientes para verificar las partes de cliente a servidor y de servidor a cliente del protocolo de enlace TLS.

Modo de certificado de cliente

Seleccione si las aplicaciones cliente o los agentes de MongoDB deben presentar un certificado TLS al conectarse a implementaciones de MongoDB con TLS habilitado. Cada implementación de MongoDB comprueba si estos hosts cliente tienen certificados al intentar conectarse. Si decide requerir los certificados TLS del cliente, asegúrese de que sean válidos.

Los valores aceptados son:

Opcional

Cada cliente puede presentar un certificado TLS válido al conectarse a implementaciones de MongoDB. Los agentes de MongoDB podrían usar certificados TLS si no estableces el mongod tlsMode en None.

Requerido

Cada implementación de MongoDB en este proyecto se inicia con conexiones de red cifradas con TLS. Todos los Agentes deben usar TLS para conectarse a cualquier implementación de MongoDB.

Advertencia

Se recomienda utilizar TLS (Seguridad de la capa de transporte)/SSL (Capa de sockets seguros) con LDAP (Protocolo ligero de acceso a directorios)

De forma predeterminada, el tráficoLDAP se envía como texto sin formato. Esto significa que las credenciales (nombre de usuario y contraseña) están expuestas a amenazas básicas de red, como rastreadores y repeticiones. Utilice LDAPS (LDAP sobre TLS/SSL) para cifrar la autenticación. Muchos servicios de directorio modernos, como Active Directory, requieren conexiones cifradas.

3

Elija el mecanismo de autenticación.

  1. En la sección MongoDB Deployment Authentication Mechanism, seleccione LDAP.

  2. Seleccione el tipo apropiado de autenticación LDAP.

    Importante

    • Si utiliza autorizacion LDAP, debe seleccionar Native LDAP Authentication.

    • Si no estás usando la autorizacion LDAP, debes añadir usuarios a la base de datos $external en tu implementación de MongoDB. Para ver un ejemplo, consulta Autenticación LDAP.

4

Configura los ajustes de autorizacion LDAP. (opcional)

Importante

A partir de MongoDB 3.4, puede autenticar usuarios utilizando LDAP, Kerberos o certificados X.509 sin requerir documentos de usuario locales en la base de datos $external, siempre que habilite la autorizacion LDAP primero. Cuando un usuario se autentica con éxito, MongoDB realiza una query al servidor LDAP para recuperar todos los grupos a los que ese usuario LDAP pertenece y transforma esos grupos en sus roles equivalentes en MongoDB.

Los procesos de MongoDB se reinician de forma escalonada cuando se aplican estos cambios.

Omitir este paso si seleccionó Saslauthd en el paso anterior.

Si seleccionó Native LDAP Authentication, complete los siguientes pasos:

  1. Proporciona los siguientes valores:

    Configuración
    Valor

    Server URL

    Especifique la combinación hostname:port de uno o más servidores LDAP.

    transportSecurity

    Selecciona TLS para cifrar tus consultas LDAP. Si no necesita cifrar las consultas LDAP, seleccione None.

    Tiempo de espera (ms)

    Especifica cuánto tiempo debe esperar una solicitud de autenticación antes de agotar el tiempo.

    Método de enlace

    Seleccione SASL o Simple.

    IMPORTANTE: Al elegir el método de vinculación Simple, selecciona TLS desde el Transport Security porque el método de vinculación Simple envía la contraseña en texto claro.

    Mecanismos SASL

    Especifica qué servicio de autenticación SASL utiliza MongoDB con el servidor LDAP.

    Consulta de usuario (DN de enlace LDAP)

    Especifique el nombre distinguido LDAP al que MongoDB se vincula cuando se conecta al servidor LDAP.

    Query Password (LDAP Bind nombre distinguido)

    Especifique la contraseña con la que MongoDB se conecta al conectarse a un servidor LDAP.

    Intervalo de invalidación de la caché de usuario LDAP (s)

    Establece cuánto tiempo espera MongoDB para vaciar la caché de usuarios de LDAP. Por defecto, son 30 segundos.

    Mapeo de usuario a nombre distinguido

    Especifique una matriz de documentos JSON que proporcionen las transformaciones ordenadas que MongoDB realiza en los nombres de usuario autenticados. MongoDB compara el nombre de usuario transformado con los DN LDAP.

    Validate LDAP Server Config

    Selecciona ON para validar la configuración del servidor LDAP o OFF para omitir la validación.

    Si es ON y la configuración no es válida, la implementación de MongoDB no se iniciará.

  2. En la sección LDAP Authorization, ingrese valores para los siguientes campos:

    Configuración
    Valor

    LDAP Authorization

    Cambia a ON para habilitar la autorización LDAP.

    Authorization Query Template

    Especifica una plantilla para una URL de query LDAP para recuperar una lista de grupos LDAP para un usuario LDAP.

    User to Distinguished Name Mapping

    Especifique una matriz de documentos JSON que proporcionen las transformaciones ordenadas que MongoDB realiza en los nombres de usuario autenticados. MongoDB compara el nombre de usuario transformado con los DN LDAP.

5

Configura los agentes para usar LDAP para conectarse a tu implementación de MongoDB.

Nota

Recordar

Ops Manager limita a los agentes a utilizar un único mecanismo por implementación.

  1. Seleccione la opción LDAP de la sección Agent Auth Mechanism.

  2. Proporcione las credenciales para el agente MongoDB:

    Configuración
    Valor

    MongoDB Agent Username

    Introduzca el nombre de usuario LDAP.

    MongoDB Agent Password

    Introduce la contraseña del nombre de usuario LDAP del agente.

    MongoDB Agent LDAP nombre distinguido

    Si habilitó la Autorización LDAP, ingrese el DN del grupo del cual es miembro el usuario del Agente MongoDB.

6

Haga clic en Save Settings.

7

Haga clic Review & Deploy en para revisar sus cambios.

8

Haga clic Confirm & Deploy en para implementar sus cambios.

En caso contrario, haz clic en Cancel y podrás realizar cambios adicionales.

9

Crear roles de MongoDB para grupos LDAP. (opcional)

Después de activar la autorización LDAP, debe crear roles personalizados de MongoDB para cada Grupo LDAP que haya especificado para la autorización LDAP.

Volver

Utilice la autenticación de nombre de usuario/contraseña

Next

Kerberos

En esta página