Puede exigir que los miembros de Los conjuntos de réplicas y los clústeres fragmentados se autentican entre sí. Para la autenticación interna de los miembros, MongoDB puede usar archivos de claves o certificados X..509
El método seleccionado se utiliza para toda la comunicación interna. Por ejemplo, cuando un cliente se autentica en un mongos usando uno de los mecanismos de autenticación compatibles, mongos utiliza entonces el método interno de autenticación configurado para conectarse a los mongod procesos requeridos.
Nota
Habilitar la autenticación interna también habilita la autorización de clientes.
Archivos clave
Los archivos clave utilizan el mecanismo de autenticación de desafío y respuesta SCRAM, donde los archivos clave contienen la contraseña compartida para los nodos.
Requisitos clave
La longitud de una clave debe estar entre 6 y 1024 caracteres y solo puede contener caracteres en base64. MongoDB elimina los espacios en blanco (p. ej., x0d, x09 y x20) para mayor comodidad entre plataformas. Como resultado, las siguientes operaciones generan claves idénticas:
echo -e "mysecretkey" > key1 echo -e "my secret key" > key1 echo -e "my secret key\n" > key2 echo -e "my secret key" > key3 echo -e "my\r\nsecret\r\nkey\r\n" > key4
Formato del fichero de claves
Los archivos clave para la autenticación interna de miembros utilizan el formato YAML para permitir múltiples claves en un archivo clave. El formato YAML acepta cualquiera de los siguientes:
Una string de clave única (igual que en versiones anteriores)
Una secuencia de cadenas clave
El formato YAML es compatible con los archivos de claves de una sola clave existentes que utilizan el formato de archivo de texto.
Por ejemplo,
Si el archivo clave contiene una sola clave, puedes especificar la string clave con o sin comillas:
my old secret key1
Puede especificar varias cadenas clave [1] como una secuencia de cadenas clave (opcionalmente entre comillas):
- my old secret key1 - my new secret key2
La posibilidad de especificar varias claves en un archivo permite su actualización gradual sin tiempo de inactividad.Consulte Rotar claves para conjuntos de réplicas autogestionados y Rotar claves para clústeres fragmentados autogestionados.
Todas las mongod y mongos instancias de una implementación deben compartir al menos una clave común.
En los sistemas UNIX, el archivo de claves no debe tener permisos de grupo ni de otros. En los sistemas Windows, no se verifican los permisos de los archivos de claves.
Debe almacenar el archivo de clave en cada servidor que aloje al miembro del conjunto de réplicas o clústeres fragmentados.
| [1] | Para el motor de almacenamiento cifrado de MongoDB, el archivo de clave utilizado para la gestión de clave local solo puede contener una única clave. |
Configuración de MongoDB para archivo de claves
Para especificar el archivo de claves, utilice la configuración o security.keyFile la --keyFile opción de línea de comando.
Para un ejemplo de autenticación interna mediante keyfile, consulta Actualizar el set de réplicas autogestionado a autenticación por keyfile.
X.509
Los nodos de un set de réplicas o de un clúster pueden utilizar certificados X.509 para la autenticación interna en lugar de utilizar archivos de claves. Esto también es conocido como Mutual TLS o mTLS. MongoDB admite la autenticación por certificado X.509 para su uso con una conexión segura TLS/SSL.
Nota
MongoDB deshabilita el soporte para el cifrado TLS 1.0 en sistemas donde TLS 1.1+ está disponible.
Requisitos del certificado de nodo
Utilice certificados de miembro para verificar la pertenencia a un clúster fragmentado o a un conjunto de réplicas. Los certificados de miembro se almacenan en y. Requisitos de los certificados de net.tls.clusterFile net.tls.certificateKeyFilemiembro:
Una única autoridad de certificación (CA) debe emitir todos los certificados x.509 para los miembros de un clúster fragmentado o un conjunto de réplicas.
El certificado x.509 no debe estar caducado.
El nombre distinguido
DN(), que se encuentra en el del certificado desubjectmiembro, debe especificar un valor no vacío para al menos uno de los siguientes atributos:la organización (
O)la Unidad Organizativa (
OU)El componente del dominio (
DC)
En implementaciones multi-cluster, cada clúster debe usar un certificado de nodo X.509 diferente. Cada certificado debe tener valores únicos en los campos del Nombre Distinguido (ND)
O,OUyDC.Si dos clústeres tienen certificados con los mismos valores de nombre distinguido, un servidor comprometido en un clúster puede autenticarse como nodo del otro.
Cada certificado de nodo de clúster debe tener
Os,OUs yDCs idénticos en sus certificadosnet.tls.clusterFileynet.tls.certificateKeyFile. Esto también se aplica al valortlsX509ClusterAuthDNOverride, si está configurado. El orden de los atributos no importa.Aquí tienes un ejemplo. Los dos
DNde abajo tienen especificaciones coincidentes paraOyOU, yDCno está especificado.CN=host1,OU=Dept1,O=MongoDB,ST=NY,C=US C=US, ST=CA, O=MongoDB, OU=Dept1, CN=host2 El siguiente ejemplo es incorrecto porque los
DNs no coinciden. UnDNtiene dos especificaciones deOUy el otro tiene solo una especificación deOU.CN=host1,OU=Dept1,OU=Sales,O=MongoDB CN=host2,OU=Dept1,O=MongoDB El Nombre Común (
CN) o una de las entradas de Nombre Alternativo del Sujeto (SAN) deben coincidir con el nombre del servidor para los demás nodos del clúster. A partir de MongoDB 4.2, al compararSANs, MongoDB puede comparar nombres DNS o direcciones IP. En versiones anteriores, MongoDB solo compara nombres DNS.Por ejemplo, los certificados de un clúster podrían tener los siguientes
subject:subject= CN=<myhostname1>,OU=Dept1,O=MongoDB,ST=NY,C=US subject= CN=<myhostname2>,OU=Dept1,O=MongoDB,ST=NY,C=US subject= CN=<myhostname3>,OU=Dept1,O=MongoDB,ST=NY,C=US Si el certificado utilizado como
certificateKeyFileincluyeextendedKeyUsage, el valor debe incluirclientAuth("Autenticación de cliente web TLS") yserverAuth("Autenticación de servidor web TLS").extendedKeyUsage = clientAuth, serverAuth Si el certificado utilizado como
clusterFileincluyeextendedKeyUsage, el valor debe incluirclientAuth.extendedKeyUsage = clientAuth
Configuración de MongoDB
Se puede usar TLS para la autenticación interna entre cada miembro del set de réplicas (cada instancia mongod) o de un clúster particionado (cada instancia mongod y mongos).
Para utilizar TLS para la autenticación interna, utiliza la siguiente configuración:
security.clusterAuthModeo--clusterAuthModeconfigurado parax509
Importante
Si configuras --tlsMode a cualquier valor distinto de disabled, MongoDB usa el certificado especificado en net.tls.certificateKeyFile para la autenticación tanto del servidor como del cliente en las conexiones internas del set de réplicas. Esta configuración del certificado se aplica independientemente de si estableces security.clusterAuthMode en X.509.
Las instancias mongod y mongos utilizan sus archivos de claves de certificado para demostrar su identidad a los clientes, pero los archivos de claves de certificado también pueden usarse para la autenticación de nodos. Si no especificas un archivo de clúster, los nodos usan sus archivos de claves de certificado para la autenticación de membresía. Especifica el archivo de clave del certificado con net.tls.certificateKeyFile o --tlsCertificateKeyFile.
Para utilizar el archivo de claves de certificado tanto para la autenticación de clientes como para la autenticación de miembros, el certificado debe:
Omite
extendedKeyUsageoEspecifica
extendedKeyUsage = serverAuth, clientAuth
Próximos pasos
Para un ejemplo de autenticación interna X.509, consulte usar Certificado X.509 para Autenticación de Membresía con MongoDB autogestionado.
Para actualizar de la autenticación interna de archivo de claves a509 la autenticación interna X.,consulte Actualizar MongoDB autoadministrado de la autenticación de archivo de claves a la autenticación X..509