Join us at MongoDB.local London on 7 May to unlock new possibilities for your data. Use WEB50 to save 50%.
Register now >
Docs Menu
Docs Home
/ /
Asegurar con autenticación
Docs Home
/ /
Seguridad
/
Asegurar con autenticación
Docs Home
/
Gestión
/
Gerente de Operaciones
/
Seguridad
/
Asegurar con autenticación

Activar la autenticación Kerberos para tu proyecto de Ops Manager

Overview

Ops Manager te permite configurar los Mecanismos de Autenticación que todos los clientes, incluidos los Agentes de Ops Manager, utilizan para conectarse a tus implementaciones de MongoDB. Puedes habilitar varios mecanismos de autenticación para cada uno de tus proyectos, pero debes elegir solo un mecanismo para los Agentes.

MongoDB Enterprise admite la autenticación mediante un servicio Kerberos. Kerberos es un protocolo de autenticación estándar de la industria usado en grandes sistemas cliente/servidor.

Importante

La configuración e implementación de un despliegue de Kerberos está fuera del alcance de este documento. Este tutorial asume que has configurado un principal de Kerberos para cada Agente y que tienes un archivo keytab válido para cada Agente.

Para autenticar MongoDB con Kerberos, debes:

  1. Tener una implementación de Kerberos debidamente configurada,

  2. Configura los principales de servicio Kerberos para MongoDB, y

  3. Añade los principales de usuario de Kerberos para los Agentes.

La sección Autenticación de Kerberos del Manual de MongoDB ofrece más detalles sobre el uso de MongoDB con Kerberos.

Considerations

Kerberos (GSSAPI) solo está disponible en compilaciones de MongoDB Enterprise. Si tienes implementaciones existentes ejecutándose en una versión Community de MongoDB, debes actualícelos a MongoDB Enterprise antes de que pueda habilitar Kerberos (GSSAPI) para su proyecto de Ops Manager.

Este tutorial describe cómo habilitar Kerberos para uno de sus proyectos de Ops Manager y cómo configurar sus agentes de Ops Manager para conectarse a su implementación habilitada para Kerberos.

Nota

Si deseas restablecer la autenticación y las configuraciones TLS para tu Proyecto, primero desvincula cualquier implementaciones de MongoDB que Ops Manager gestione en tu Proyecto.

Procedimientos

Estos procedimientos describen cómo configurar y habilitar la autenticación de Kerberos al usar automatización. Si Ops Manager no gestiona su supervisión o copias de seguridad, debe configurarlos manualmente para que se autentiquen con Kerberos.

Consulta Configura el MongoDB Agent para Kerberos para obtener instrucciones.

Configura una implementación existente de Linux para la autenticación basada en Kerberos

Si usas Ops Manager para gestionar implementaciones existentes en Linux en tu proyecto, todas las implementaciones de MongoDB en el proyecto deben estar configuradas para la autenticación Kerberos antes de que puedas habilitar la autenticación Kerberos para tu proyecto.

1

Navega hasta el Clusters vista para tu implementación.

  1. Si aún no se muestra, se debe seleccionar la organización que contiene el proyecto deseado en el menú Organizations de la barra de navegación.

  2. Si aún no se muestra, se debe seleccionar el proyecto deseado en el menú Projects de la barra de navegación.

  3. Si aún no se muestra, haz clic en Deployment en la barra lateral.

  1. Haz clic en la vista Clusters.

2

En la línea que enumera el proceso, haz clic en Modify.

3

Expande la sección Advanced Configuration Options.

4

Establece la opción kerberosKeytab.

Si kerberosKeytab aún no está configurado:

  1. Haga clic en Add Option.

  2. Expande la lista Select a Startup Option.

  3. Busca y selecciona la opción kerberosKeytab, luego haz clic en Add.

  4. En la columna kerberosKeytab, proporciona la ruta absoluta al archivo keytab.

  5. Haga clic en Save.

Cuando haya configurado las opciones de Kerberos para cada implementación, puede proceder a habilitar Kerberos para su proyecto de Ops Manager.

Habilitar Kerberos para su proyecto de Ops Manager

1

Navegue al cuadro de diálogo Security Settings para su implementación.

  1. Si aún no se muestra, se debe seleccionar la organización que contiene el proyecto deseado en el menú Organizations de la barra de navegación.

  2. Si aún no se muestra, se debe seleccionar el proyecto deseado en el menú Projects de la barra de navegación.

  3. Si aún no se muestra, haz clic en Deployment en la barra lateral.

  1. Haz clic en la pestaña Security.

  2. Haz clic en la pestaña Settings.

  3. Realiza una de las siguientes acciones:

    • Si esta es la primera vez que configura TLS, autenticación o configuración de autorización para este proyecto, haz clic en Get Started.

    • Si ya se ha configurado la autenticación TLS, o la configuración de autorización para este proyecto, haga clic en Edit.

2

Opcional: Especifica la configuración TLS.

Campo
Acción

Seguridad de capa de transporte de implementación de MongoDB (TLS)

Active este control deslizante para ON.

Ruta del archivo CA de TLS

El archivo de la Autoridad Certificadora TLS es un archivo de certificado en formato .pemque contiene la cadena de certificados raíz de la Autoridad Certificadora. El Agente de MongoDB utiliza este mismo archivo de Autoridad Certificadora para conectarse a todos los elementos en tu implementación.

La clave privada cifrada para el archivo de certificado .pem debe estar en PKCS n. °1 formato. El Agente de MongoDB no admite el formato PKCS #8.

Escriba la ruta del archivo hasta el archivo de la Autoridad Certificadora TLS en cada host que ejecute un proceso de MongoDB:

  • Escriba la ruta del archivo en todos los hosts Linux en el primer cuadro.

  • Escriba la ruta del archivo en todos los hosts de Windows en la segunda casilla.

Esto habilita la opción net.tls.CAFile para los procesos de MongoDB en el proyecto.

Haz clic en Validate para probar que cada host en tu implementación tenga una autoridad certificadora TLS en las rutas que especificaste.

Ruta del archivo CA TLS del clúster

El archivo .pem que contiene la cadena de certificados raíz de la Autoridad de Certificación utilizada para validar el certificado presentado por un cliente que establece una conexión. Especifique el nombre del archivo .pem utilizando rutas relativas o absolutas. net.tls.clusterCAFile requiere que net.tls.CAFile esté configurado.

Si no especificas el net.tls.clusterCAFile, el clúster utiliza el archivo .pem especificado en la opción net.tls.CAFile.

net.tls.clusterCAFile permite utilizar Autoridades de Certificación separadas para verificar las porciones de cliente a servidor y de servidor a cliente del apretón de manos TLS.

Modo de certificado de cliente

Seleciona si las aplicaciones cliente o los agentes de MongoDB deben presentar un certificado TLS al conectarse a una implementación de MongoDB habilitada para TLS. Cada implementación de MongoDB verifica los certificados de estos hosts clientes cuando intentan conectarse. Si opta por exigir los certificados TLS del cliente, asegúrese de que sean válidos.

Los valores aceptados son:

Opcional

Cada cliente puede presentar un certificado TLS válido al conectarse a implementaciones de MongoDB. Los agentes de MongoDB podrían usar certificados TLS si no estableces el mongod tlsMode en None.

Requerido

Cada implementación de MongoDB en este proyecto se inicia con conexiones de red cifradas con TLS. Todos los Agentes deben usar TLS para conectarse a cualquier implementación de MongoDB.

TLS no es obligatorio para utilizar la autenticación Kerberos (GSSAPI).

3

Elige el mecanismo de autenticación.

  1. En la sección MongoDB Deployment Authentication Mechanism, seleccione Kerberos (GSSAPI).

  2. Ingrese su Nombre del servicio SASL.

    El SASL Service Name es el Nombre Principal del Servicio Kerberos para mongod o mongos.

Importante

Si no estás utilizando autorización LDAP, debes agregar usuarios a la base de datos $external en tu implementación de MongoDB. Para ver un ejemplo, consulta Autenticación de Kerberos.

4

Configura los ajustes de autorizacion LDAP.

Importante

A partir de MongoDB 3.4, puedes autenticar a los usuarios utilizando LDAP, Kerberos y certificados X.509 sin necesidad de documentos de usuario locales en la base de datos $external, siempre que habilites primero la autorización LDAP. Cuando un usuario se autentica con éxito, MongoDB realiza una query al servidor LDAP para recuperar todos los grupos a los que ese usuario LDAP pertenece y transforma esos grupos en sus roles equivalentes en MongoDB.

Omite este paso si no deseas activar la autorizacion LDAP.

  1. Ingresa los valores para los siguientes campos:

    Configuración
    Valor

    LDAP Authorization

    Cambia a ON para habilitar la autorización LDAP.

    Authorization Query Template

    Especifica una plantilla para una URL de query LDAP para recuperar una lista de grupos LDAP para un usuario LDAP.

5

Configura Kerberos (GSSAPI) para los agentes.

Puedes habilitar más de un mecanismo de autenticación para tu implementación de MongoDB, pero los agentes de Ops Manager solo pueden usar un mecanismo de autenticación. Selecciona Kerberos (GSSAPI) para conectarte a tu implementación de MongoDB.

  1. Selecciona la opción Kerberos (GSSAPI) de la sección Agent Auth Mechanism.

  2. Proporcione las credenciales para el agente MongoDB:

    Si utiliza Linux, configure:

    Configuración
    Valor

    MongoDB Agent Kerberos Principal

    El principal de Kerberos.

    MongoDB Agent Keytab Path

    La ruta para el Keytab del agente.

    Si utiliza Windows, configure:

    Configuración
    Valor

    MongoDB Agent Username

    El nombre del usuario de Active Directory.

    MongoDB Agent Password

    La contraseña de Active Directory.

    Domain

    El nombre NetBIOS de un dominio en Active Directory Domain Services. Debe estar en mayúsculas.

6

Haga clic en Save Settings.

7

Haz clic en Review & Deploy para revisar tus cambios.

8

Haz clic en Confirm & Deploy para implementar tus cambios.

En caso contrario, haz clic en Cancel y podrás realizar cambios adicionales.

9

Crear roles de MongoDB para grupos LDAP. (opcional)

Después de activar la autorización LDAP, debe crear roles personalizados de MongoDB para cada Grupo LDAP que haya especificado para la autorización LDAP.

Volver

LDAP

Next

OIDC

En esta página