Docs Menu
Docs Home
/ /
Seguro con autenticación
Docs Home
/ /
Seguridad
/
Seguro con autenticación
Docs Home
/
Gestión
/
Gerente de Operaciones
/
Seguridad
/
Seguro con autenticación

Habilite la autenticación x.509 para su proyecto de Ops Manager

Ops Manager le permite configurar los mecanismos de autenticación que todos los clientes, incluidos los agentes de Ops Manager, utilizan para conectarse a sus implementaciones de MongoDB. Puede habilitar varios mecanismos de autenticación para cada proyecto, pero debe elegir solo uno para los agentes.

MongoDB admite la autenticación de certificados de cliente y miembro x.509 para su uso con un servidor seguro. Conexión TLS/SSL. La509 autenticación x. permite a los usuarios y a otros miembros autenticarse en los servidores con certificados, en lugar de con un nombre de usuario y una contraseña.

Requisitos previos

Importante

Una descripción completa de Seguridad de capa de transporte (TLS)Lainfraestructura de clave pública, los certificadosX.509 y las autoridades de certificación exceden el alcance de este tutorial. Este tutorial presupone conocimientos previos de TLS y acceso a certificados X.509 válidos.

Procedimientos

Estos procedimientos describen cómo configurar y habilitar509 la autenticación x. al usar Automation. Si Ops Manager no administra sus agentes, debe configurarlos manualmente para que usen la509 autenticación x..

Nota

Para obtener más información,consulte Configurar el agente MongoDB para la509 autenticación X..

Preparar una implementación existente para la autenticación de certificados x.509

Importante

El uso 509 de la autenticación con509 certificado de cliente x. requiere TLS/SSL. Si Ops Manager administra una o más implementaciones existentes, TLS/SSL debe estar habilitado en cada proceso de la implementación de MongoDB antes de habilitar la autenticación x..

Nota

Si TLS/SSL ya está habilitado, puede omitir este procedimiento.

1

Navegar hasta el Clusters Vista para su implementación.

  1. Si aún no se muestra, se debe seleccionar la organización que contiene el proyecto deseado en el menú Organizations de la barra de navegación.

  2. Si aún no se muestra, se debe seleccionar el proyecto deseado en el menú Projects de la barra de navegación.

  3. Si aún no se muestra, haga clic en Deployment en la barra lateral.

  1. Haga clic en la vista Clusters.

2

En la línea que enumera el proceso, haz clic en Modify.

3

Expandir la Advanced Configuration Options sección.

4

Establecer las opciones de inicio de TLS/SSL.

  1. Haga clic en Add Option para agregar cada una de las siguientes opciones:

    Opción
    Requerido
    Valor

    tlsMode

    Requerido

    Seleccione requireTLS.

    tlsCertificateKeyFile

    Requerido

    Proporcione la ruta absoluta al certificado del servidor.

    tlsCertificateKeyFilePassword

    Requerido

    Proporcione la contraseña del archivo de clave PEM si lo cifró.

    IMPORTANTE: Si la clave privada cifrada del .pem archivo de certificado está en formato PKCS #,8 debe utilizar operaciones de cifrado PBES. El Agente de MongoDB no admite PKCS 2 #8 con otras operaciones de cifrado.

    tlsFIPSMode

    Opcional

    true Seleccione si desea habilitar el modo FIPS.

  2. Después de agregar cada opción, haga clic en Add.

  3. Cuando haya agregado las opciones necesarias, haga clic en Save.

5

Haga clic en Save.

6

Haga clic Review & Deploy en para revisar sus cambios.

7

Haga clic Confirm & Deploy en para implementar sus cambios.

En caso contrario, haz clic en Cancel y podrás realizar cambios adicionales.

Configurar una implementación existente para la autenticación del certificado de miembro x.509

Nota

Este procedimiento es opcional. Permite a los miembros de un set de réplicas o clúster usar también certificados x.509 para autenticarse entre sí. Si no está configurado, los miembros de set de réplicas y clúster aún pueden autenticarse entre sí usando autenticación keyFile.

Advertencia

Este procedimiento es irreversible

Si habilita la autenticación del certificado de miembro x.509 para cualquier implementación en un proyecto, no podrá deshabilitar la autenticación del certificado de miembro x.509 para la implementación ni deshabilitar la autenticación del cliente x.509 en el nivel del proyecto.

Habilitar la autenticación con certificado de miembro x.509 para una implementación de un proyecto no habilita ni requiere la autenticación con certificado de miembro x.509 para otras implementaciones del proyecto. Opcionalmente, puede habilitar que todas las demás implementaciones del proyecto utilicen la autenticación con certificado de miembro x.509.

Importante

Si configuró MongoDB Agent PEM y security.clusterAuthMode estableció x509 en, aparecerá una advertencia Client connecting with server's own TLS certificate mongod de que se muestra en los archivos de registro, lo que indica que el cliente se está conectando con el certificado TLS del propio servidor.

Este es el comportamiento esperado, ya que el Agente de MongoDB se conecta a Ops Manager mediante la configuración de autorización interna. No es necesario realizar ninguna acción.

1

Navegue a la Clusters vista para su implementación.

  1. Si aún no se muestra, se debe seleccionar la organización que contiene el proyecto deseado en el menú Organizations de la barra de navegación.

  2. Si aún no se muestra, se debe seleccionar el proyecto deseado en el menú Projects de la barra de navegación.

  3. Si aún no se muestra, haga clic en Deployment en la barra lateral.

  1. Haga clic en la vista Clusters.

2

En la línea que enumera el proceso, haz clic en Modify.

3

Expandir la Advanced Configuration Options sección.

4

Configura las opciones de inicio x.509.

  1. Haga clic en Add Option para agregar cada opción.

    Opción
    Valor

    clusterAuthMode

    Seleccione x509.

    clusterFile

    Proporcione la ruta al archivo de clave PEM del miembro.

  2. Después de cada opción, haga clic en Add.

5

Haga clic en Save.

6

Haga clic Review & Deploy en para revisar sus cambios.

7

Haga clic Confirm & Deploy en para implementar sus cambios.

En caso contrario, haz clic en Cancel y podrás realizar cambios adicionales.

Cuando haya configurado las opciones TLS/SSL para cada proceso implementado, puede proceder a habilitar la509 autenticación x. para su proyecto de Ops Manager.

Habilite la autenticación del certificado de cliente x.509 para su proyecto de Ops Manager

1

Navegue hasta el Security Settings cuadro de diálogo para su implementación.

  1. Si aún no se muestra, se debe seleccionar la organización que contiene el proyecto deseado en el menú Organizations de la barra de navegación.

  2. Si aún no se muestra, se debe seleccionar el proyecto deseado en el menú Projects de la barra de navegación.

  3. Si aún no se muestra, haga clic en Deployment en la barra lateral.

  1. Haz clic en la pestaña Security.

  2. Haz clic en la pestaña Settings.

  3. Realice una de las siguientes acciones:

    • Si es la primera vez que configura TLS, autenticación o autorización para este proyecto, haga clic Get Started en.

    • Si ya ha configurado la autenticación TLS o las configuraciones de autorización para este proyecto, haga clic Edit en.

2

Especifique la configuración deTLS.

Campo
Acción

Seguridad de capa de transporte de implementación de MongoDB (TLS)

Cambie este control deslizante a ON.

Ruta de archivo CA TLS

El archivo de la autoridad de certificación TLS es un archivo de certificado con formato que contiene la cadena de certificados raíz de la autoridad de certificación. El agente de MongoDB utiliza este mismo archivo de autoridad de certificación para conectarse a todos los elementos de su implementación..pem

La clave privada .pem cifrada del archivo de certificado debe tener el formato PKCS1 #. El agente de MongoDB no admite el formato PKCS #.8

Escriba la ruta del archivo de la autoridad de certificación TLS en cada host que ejecute un proceso MongoDB:

  • Escriba la ruta del archivo en todos los hosts Linux en el primer cuadro.

  • Escriba la ruta del archivo en todos los hosts de Windows en el segundo cuadro.

Esto habilita la configuración para los procesos MongoDB en el net.tls.CAFile proyecto.

Haz clic en Validate para probar que cada host en tu implementación tenga una autoridad certificadora TLS en las rutas que especificaste.

Ruta del archivo CA TLS del clúster

El archivo .pem que contiene la cadena de certificados raíz de la Autoridad de Certificación utilizada para validar el certificado presentado por un cliente que establece una conexión. Especifique el nombre del archivo .pem utilizando rutas relativas o absolutas. net.tls.clusterCAFile requiere que net.tls.CAFile esté configurado.

Si no especifica, el clúster utiliza net.tls.clusterCAFile el .pem archivo especificado en la net.tls.CAFile opción.

net.tls.clusterCAFile Le permite utilizar autoridades de certificación independientes para verificar las partes de cliente a servidor y de servidor a cliente del protocolo de enlace TLS.

Modo de certificado de cliente

Seleccione si las aplicaciones cliente o los agentes de MongoDB deben presentar un certificado TLS al conectarse a implementaciones de MongoDB con TLS habilitado. Cada implementación de MongoDB comprueba si estos hosts cliente tienen certificados al intentar conectarse. Si decide requerir los certificados TLS del cliente, asegúrese de que sean válidos.

Los valores aceptados son:

Opcional

Cada cliente puede presentar un certificado TLS válido al conectarse a implementaciones de MongoDB. Los agentes de MongoDB podrían usar certificados TLS si no se configuran los mongod tlsMode valores None a.

Requerido

Cada implementación de MongoDB en este proyecto comienza con conexiones de red cifradas con TLS. Todos los agentes deben usar TLS para conectarse a cualquier implementación de MongoDB.

3

Elija el mecanismo de autenticación.

En la sección MongoDB Deployment Authentication Mechanism, seleccione X.509 Client Certificate (MONGODB-X509).

Importante

Si no utiliza la autorización LDAP, debe agregar usuarios a la $external base de datos en su implementación de MongoDB. Para ver un ejemplo, consulte x.509 Autenticación de certificado de cliente.

4

Configurar los ajustes de autorización LDAP.

Importante

A partir de MongoDB 3.4, puede autenticar usuarios mediante certificados LDAP, Kerberos y X.509 sin necesidad de documentos de usuario locales en la base de datos $external, siempre que habilite primero la autorización LDAP. Cuando un usuario se autentica correctamente, MongoDB realiza una consulta al servidor LDAP para recuperar todos los grupos que posee y los transforma en sus roles equivalentes de MongoDB.

Omita este paso si no desea habilitar la autorización LDAP.

  1. Introduzca valores para los siguientes campos:

    Configuración
    Valor

    LDAP Authorization

    Cambie a ON para habilitar la autorización LDAP.

    Authorization Query Template

    Especifique una plantilla para una URL de consulta LDAP para recuperar una lista de grupos LDAP para un usuario LDAP.

5

Configura X.509 Client Certificate (MONGODB-X509) para los agentes.

Puedes habilitar más de un mecanismo de autenticación para tu implementación de MongoDB, pero los agentes de Ops Manager solo pueden usar un mecanismo de autenticación. Selecciona X.509 Client Certificate (MONGODB-X509) para conectarte a tu implementación de MongoDB.

  1. Seleccione la opción X.509 Client Certificate (MONGODB-X509) de la sección Agent Auth Mechanism.

  2. Proporcione credenciales para el agente MongoDB:

    Configuración
    Valor

    MongoDB Agent Username

    Introduzca el nombre distinguido LDAPv3 derivado del archivo de clave PEM del agente.

    MongoDB Agent Certificate File

    Proporcione la ruta y el nombre del archivo de clave PEM del agente en el servidor en la línea correspondiente al sistema operativo apropiado.

    MongoDB Agent Certificate Password

    Proporcione la contraseña del archivo de clave PEM si está cifrado.

6

Haga clic en Save Settings.

7

Haga clic Review & Deploy en para revisar sus cambios.

8

Haga clic Confirm & Deploy en para implementar sus cambios.

En caso contrario, haz clic en Cancel y podrás realizar cambios adicionales.

9

Crear roles de MongoDB para grupos LDAP (opcional).

Después de habilitar la autorización LDAP, debe crear roles MongoDB personalizados para cada grupo LDAP que haya especificado para la autorización LDAP.

Volver

Carga de trabajo (Aplicaciones)

Next

Gestionar Usuarios y Roles

En esta página