Join us at MongoDB.local London on 7 May to unlock new possibilities for your data. Use WEB50 to save 50%.
Register now >
Docs Menu
Docs Home
/ /
Asegurar con autenticación
Docs Home
/ /
Seguridad
/
Asegurar con autenticación
Docs Home
/
Gestión
/
Gerente de Operaciones
/
Seguridad
/
Asegurar con autenticación

Habilita la autenticación x.509 para tu proyecto de Ops Manager

Ops Manager te permite configurar los Mecanismos de Autenticación que todos los clientes, incluidos los Agentes de Ops Manager, utilizan para conectarse a tus implementaciones de MongoDB. Puedes habilitar varios mecanismos de autenticación para cada uno de tus proyectos, pero debes elegir solo un mecanismo para los Agentes.

MongoDB admite la autenticación de certificados de cliente y miembro x.509 para su uso con un servidor seguro. Conexión TLS/SSL. La autenticación x.509 permite a los usuarios y otros nodos autenticarse en los servidores con certificados en lugar de con un nombre de usuario y contraseña.

Requisitos previos

Importante

Una descripción completa de Seguridad de capa de transporte (TLS), infraestructura de llave pública, X.509 certificados, y Autoridades Certificadoras excede el alcance de este tutorial. Este tutorial asume un conocimiento previo de TLS y acceso a certificados X.509 válidos.

Procedimientos

Estos procedimientos describen cómo configurar y habilitar la autenticación x.509 cuando se utiliza Automatización. Si Ops Manager no gestiona tus agentes, debes configurarlos manualmente para que utilicen la autenticación x.509.

Nota

Para obtener más información,consulte Configurar el agente MongoDB para la autenticación X.509.

Preparar una implementación existente para la autenticación de certificados x.509

Importante

El uso de la autenticación mediante certificados de cliente x.509 requiere TLS/SSL. Si el Administrador de Operaciones gestiona una o más implementaciones existentes, TLS/SSL debe estar habilitado en cada proceso en la implementación de MongoDB antes de habilitar la autenticación x.509.

Nota

Si TLS/SSL ya está activado, puedes omitir este procedimiento.

1

Navega hasta el Clusters vista para tu implementación.

  1. Si aún no se muestra, se debe seleccionar la organización que contiene el proyecto deseado en el menú Organizations de la barra de navegación.

  2. Si aún no se muestra, se debe seleccionar el proyecto deseado en el menú Projects de la barra de navegación.

  3. Si aún no se muestra, haz clic en Deployment en la barra lateral.

  1. Haga clic en la vista Clusters.

2

En la línea que enumera el proceso, haz clic en Modify.

3

Expandir la Advanced Configuration Options sección.

4

Configura las opciones de inicio TLS/SSL.

  1. Haga clic en Add Option para agregar cada una de las siguientes opciones:

    Opción
    Requerido
    Valor

    tlsMode

    Requerido

    Seleccione requireTLS.

    tlsCertificateKeyFile

    Requerido

    Proporcione la ruta absoluta al certificado del servidor.

    tlsCertificateKeyFilePassword

    Requerido

    Proporcione la contraseña del archivo de clave PEM si lo cifró.

    IMPORTANTE: Si la clave privada cifrada para el archivo de certificado .pem está en formato PKCS nº8, debe utilizar operaciones de cifrado PBES2. El MongoDB Agent no admite PKCS #8 con otras operaciones de encriptación.

    tlsFIPSMode

    Opcional

    Seleccione true si desea habilitar el modo FIPS.

  2. Después de agregar cada opción, haga clic en Add.

  3. Cuando haya agregado las opciones necesarias, haga clic en Save.

5

Haga clic en Save.

6

Haga clic Review & Deploy en para revisar sus cambios.

7

Haga clic Confirm & Deploy en para implementar sus cambios.

En caso contrario, haz clic en Cancel y podrás realizar cambios adicionales.

Configurar una implementación existente para la autenticación con certificado de nodo x.509

Nota

Este procedimiento es opcional. Permite a los miembros de un set de réplicas o clúster usar también certificados x.509 para autenticarse entre sí. Si no está configurado, los miembros de set de réplicas y clúster aún pueden autenticarse entre sí usando autenticación keyFile.

Advertencia

Este procedimiento es irreversible

Si activas la autenticación mediante certificado x.509 de nodo para cualquier implementación en un Proyecto, no puedes desactivar la autenticación mediante certificado x.509 para la implementación ni deshabilitar la autenticación de clientes x.509 a nivel de Proyecto.

Habilitar la autenticación de certificado de nodo x.509 para una implementación en un Proyecto no habilita ni requiere la autenticación de certificado de nodo x.509 para otras implementaciones en el Proyecto. Puedes habilitar opcionalmente que cada otra implementación en el Proyecto utilice la autenticación de certificado de nodo x.509.

Importante

Si configuró el PEM del agente de MongoDB y estableció security.clusterAuthMode: en x509, se mostrará una advertencia de que Client connecting with server's own TLS certificate en los archivos de registro de mongod, indicando que el cliente se está conectando con el propio certificado TLS del servidor.

Este es el comportamiento esperado, porque el MongoDB Agent se conecta a Ops Manager usando la configuración de autorización interna. No se necesita ninguna acción.

1

Navegue a la Clusters vista para su implementación.

  1. Si aún no se muestra, se debe seleccionar la organización que contiene el proyecto deseado en el menú Organizations de la barra de navegación.

  2. Si aún no se muestra, se debe seleccionar el proyecto deseado en el menú Projects de la barra de navegación.

  3. Si aún no se muestra, haz clic en Deployment en la barra lateral.

  1. Haga clic en la vista Clusters.

2

En la línea que enumera el proceso, haz clic en Modify.

3

Expandir la Advanced Configuration Options sección.

4

Configura las opciones de inicio x.509.

  1. Haga clic en Add Option para agregar cada opción.

    Opción
    Valor

    clusterAuthMode

    Seleccione x509.

    clusterFile

    Proporcione la ruta al archivo de la clave PEM del nodo.

  2. Después de cada opción, haz clic en Add.

5

Haga clic en Save.

6

Haga clic Review & Deploy en para revisar sus cambios.

7

Haga clic Confirm & Deploy en para implementar sus cambios.

En caso contrario, haz clic en Cancel y podrás realizar cambios adicionales.

Cuando haya configurado las opciones de TLS/SSL para cada proceso implementado, puede habilitar la autenticación x.509 para su proyecto de Ops Manager.

Habilitar la autenticación de certificado de cliente x.509 para el proyecto de Ops Manager

1

Navegue al cuadro de diálogo Security Settings para su implementación.

  1. Si aún no se muestra, se debe seleccionar la organización que contiene el proyecto deseado en el menú Organizations de la barra de navegación.

  2. Si aún no se muestra, se debe seleccionar el proyecto deseado en el menú Projects de la barra de navegación.

  3. Si aún no se muestra, haz clic en Deployment en la barra lateral.

  1. Haz clic en la pestaña Security.

  2. Haz clic en la pestaña Settings.

  3. Realiza una de las siguientes acciones:

    • Si esta es la primera vez que configura TLS, autenticación o configuración de autorización para este proyecto, haz clic en Get Started.

    • Si ya se ha configurado la autenticación TLS, o la configuración de autorización para este proyecto, haga clic en Edit.

2

Especifique la configuración de TLS.

Campo
Acción

Seguridad de capa de transporte de implementación de MongoDB (TLS)

Active este control deslizante para ON.

Ruta de archivo CA TLS

El archivo de la Autoridad Certificadora TLS es un archivo de certificado en formato .pemque contiene la cadena de certificados raíz de la Autoridad Certificadora. El Agente de MongoDB utiliza este mismo archivo de Autoridad Certificadora para conectarse a todos los elementos en tu implementación.

La clave privada cifrada para el archivo de certificado .pem debe estar en formato PKCS #1. MongoDB Agent no es compatible con el formato PKCS #8.

Escriba la ruta del archivo hasta el archivo de la Autoridad Certificadora TLS en cada host que ejecute un proceso de MongoDB:

  • Escriba la ruta del archivo en todos los hosts Linux en el primer cuadro.

  • Escriba la ruta del archivo en todos los hosts de Windows en la segunda casilla.

Esto habilita la configuración para los procesos MongoDB en el net.tls.CAFile proyecto.

Haz clic en Validate para probar que cada host en tu implementación tenga una autoridad certificadora TLS en las rutas que especificaste.

Ruta del archivo CA TLS del clúster

El archivo .pem que contiene la cadena de certificados raíz de la Autoridad de Certificación utilizada para validar el certificado presentado por un cliente que establece una conexión. Especifique el nombre del archivo .pem utilizando rutas relativas o absolutas. net.tls.clusterCAFile requiere que net.tls.CAFile esté configurado.

Si no especifica, el clúster utiliza net.tls.clusterCAFile el .pem archivo especificado en la net.tls.CAFile opción.

net.tls.clusterCAFile Le permite utilizar autoridades de certificación independientes para verificar las partes de cliente a servidor y de servidor a cliente del protocolo de enlace TLS.

Modo de certificado de cliente

Seleccione si las aplicaciones cliente o los agentes de MongoDB deben presentar un certificado TLS al conectarse a implementaciones de MongoDB con TLS habilitado. Cada implementación de MongoDB comprueba si estos hosts cliente tienen certificados al intentar conectarse. Si decide requerir los certificados TLS del cliente, asegúrese de que sean válidos.

Los valores aceptados son:

Opcional

Cada cliente puede presentar un certificado TLS válido al conectarse a implementaciones de MongoDB. Los agentes de MongoDB podrían usar certificados TLS si no estableces el mongod tlsMode en None.

Requerido

Cada implementación de MongoDB en este proyecto se inicia con conexiones de red cifradas con TLS. Todos los Agentes deben usar TLS para conectarse a cualquier implementación de MongoDB.

3

Elija el mecanismo de autenticación.

En la sección MongoDB Deployment Authentication Mechanism, seleccione X.509 Client Certificate (MONGODB-X509).

Importante

Si no utiliza la autorización LDAP, debe agregar usuarios a la $external base de datos en su implementación de MongoDB. Para ver un ejemplo, consulte x.509 Autenticación de certificado de cliente.

4

Configura los ajustes de autorizacion LDAP.

Importante

A partir de MongoDB 3.4, puedes autenticar a los usuarios utilizando LDAP, Kerberos y certificados X.509 sin necesidad de documentos de usuario locales en la base de datos $external, siempre que habilites primero la autorización LDAP. Cuando un usuario se autentica con éxito, MongoDB realiza una query al servidor LDAP para recuperar todos los grupos a los que ese usuario LDAP pertenece y transforma esos grupos en sus roles equivalentes en MongoDB.

Omita este paso si no desea habilitar la autorización LDAP.

  1. Ingresa los valores para los siguientes campos:

    Configuración
    Valor

    LDAP Authorization

    Cambia a ON para habilitar la autorización LDAP.

    Authorization Query Template

    Especifica una plantilla para una URL de query LDAP para recuperar una lista de grupos LDAP para un usuario LDAP.

5

Configura X.509 Client Certificate (MONGODB-X509) para los agentes.

Puedes habilitar más de un mecanismo de autenticación para tu implementación de MongoDB, pero los agentes de Ops Manager solo pueden usar un mecanismo de autenticación. Selecciona X.509 Client Certificate (MONGODB-X509) para conectarte a tu implementación de MongoDB.

  1. Seleccione la opción X.509 Client Certificate (MONGODB-X509) de la sección Agent Auth Mechanism.

  2. Proporcione las credenciales para el agente MongoDB:

    Configuración
    Valor

    MongoDB Agent Username

    Introduce el nombre distinguido LDAPv3 derivado del archivo clave PEM del agente.

    MongoDB Agent Certificate File

    Proporcione la ruta y el nombre del archivo de clave PEM del agente en el servidor en la línea correspondiente al sistema operativo apropiado.

    MongoDB Agent Certificate Password

    Proporcione la contraseña para el archivo de clave PEM si se cifró.

6

Haga clic en Save Settings.

7

Haga clic Review & Deploy en para revisar sus cambios.

8

Haga clic Confirm & Deploy en para implementar sus cambios.

En caso contrario, haz clic en Cancel y podrás realizar cambios adicionales.

9

Crear roles de MongoDB para grupos LDAP. (opcional)

Después de activar la autorización LDAP, debe crear roles personalizados de MongoDB para cada Grupo LDAP que haya especificado para la autorización LDAP.

Volver

Carga de trabajo (Aplicaciones)

Next

Gestionar Usuarios y Roles

En esta página