Configurar usuarios mediante Active Directory autoadministrado con LDAP nativo

Configurar TLS/SSL para el servidor que ejecuta MongoDB

Para conectarse al servidor AD (AD) a través de TLS/SSL, mongod o requieren mongos acceso al certificado de autoridad de certificación (CA) del servidor AD.

En Linux, especifique los certificados CA del servidor AD mediante TLS_CACERT TLS_CACERTDIR la ldap.conf opción o en el archivo.

El gestor de paquetes de su plataforma crea el ldap.conf archivo al instalar la dependencia de MongoDB libldap Enterprise. Para obtener la documentación completa sobre el archivo de configuración o las opciones referenciadas, consulte ldap.conf.

En Microsoft Windows, cargue los certificados de la autoridad de certificación (CA) del servidor AD con la herramienta de administración de credenciales de la plataforma. La herramienta de administración de credenciales exacta depende de la versión de Windows. Para usarla, consulte la documentación correspondiente a su versión de Windows.

Si mongod o mongos no pueden acceder a los archivos CA de AD, no podrán crear conexiones TLS/SSL al servidor de Active Directory.

Opcionalmente, configure security.ldap.transportSecurity en none para deshabilitar TLS/SSL.

Conéctese al servidor de MongoDB.

Conéctese al servidor MongoDB usando mongosh usando las opciones --host --port y.

mongosh --host <hostname> --port <port>

Si su servidor MongoDB actualmente aplica autenticación, debe autenticarse en la admin base de datos como un usuario con privilegios de administración de roles, como los proporcionados por o. Incluya userAdmin el correspondiente userAdminAnyDatabase --authenticationMechanism al mecanismo de autenticación configurado en el servidor MongoDB.

mongosh --host <hostname> --port <port> --username <user> --password <pass> --authenticationDatabase="admin" --authenticationMechanism="<mechanism>"

Crear rol administrativo de usuario.

Para administrar usuarios de MongoDB mediante AD, debe crear al menos un rol en la admin base de datos que pueda crear y administrar roles, como los proporcionados por userAdmin o.userAdminAnyDatabase

El nombre del rol debe coincidir exactamente con el nombre distintivo de un grupo de AD. El grupo debe tener al menos un usuario de AD como miembro.

Dado los grupos disponibles de Active Directory, la siguiente operación:

• Crea un rol denominado para el grupo de AD CN=dba,CN=Users,DC=example,DC=com y

• Le asigna el rol en userAdminAnyDatabase la admin base de datos.

var admin = db.getSiblingDB("admin")
admin.createRole(
   {
     role: "CN=dba,CN=Users,DC=example,DC=com",
     privileges: [],
     roles: [ "userAdminAnyDatabase" ]
   }
)

También puede otorgar el userAdmin rol para cada base de datos en la que el usuario deba tener privilegios administrativos. Estos roles proporcionan los privilegios necesarios para la creación y gestión de roles.

Crear un archivo de configuración de MongoDB.

Un archivo de configuración de MongoDB es un archivo YAML de texto simple con la .conf extensión de archivo.

• Si va a actualizar una implementación existente de MongoDB, copie el archivo de configuración actual y trabaje a partir de esa copia.

• (Solo Linux) Si se trata de una nueva implementación y utilizó el gestor de paquetes de su plataforma para instalar MongoDB Enterprise, la instalación incluye el /etc/mongod.conf archivo de configuración predeterminado. Use dicho archivo o haga una copia para trabajar con él.

• Si no existe dicho archivo, cree un archivo vacío con la extensión .conf y trabaje desde ese nuevo archivo de configuración.

Configurar MongoDB para conectarse a Active Directory.

En el archivo de configuración de MongoDB, asigne security.ldap.servers al host y puerto del servidor de AD. Si su infraestructura de AD incluye varios servidores de AD para la replicación, especifique el host y puerto security.ldap.servers de los servidores como una lista delimitada por comas hasta.

También debe habilitar la autenticación LDAP configurando security.authorization en enabled y setParameter authenticationMechanisms en PLAIN

security:
  authorization: "enabled"
  ldap:
    servers: "activedirectory.example.net"
setParameter:
  authenticationMechanisms: 'PLAIN'

MongoDB debe vincularse al servidor AD para realizar consultas. De forma predeterminada, MongoDB utiliza el mecanismo de autenticación simple para vincularse al servidor AD.

Como alternativa, puede configurar los siguientes ajustes en el archivo de configuración para vincularse al servidor AD SASL mediante:

• Establezca security.ldap.bind.method en sasl

• security.ldap.bind.saslMechanisms, especificando una string de mecanismos SASL separados por comas que el servidor AD admite.

Este tutorial utiliza el mecanismo de autenticación LDAP predeterminado simple.

Configurar la plantilla de consulta LDAP para la autorización.

En el archivo de configuración de MongoDB, establezca en security.ldap.authz.queryTemplate una plantilla de URL de consulta LDAP con formato 4516 RFC.

En la plantilla, puedes usar:

• {USER} marcador de posición para sustituir el nombre de usuario autenticado en la URL de consulta LDAP.

• {PROVIDED_USER} marcador de posición para sustituir el nombre de usuario suministrado, es decir, antes de la autenticación o la transformación LDAP, en la query LDAP.

security:
  ldap:
    authz:
      queryTemplate:
        "DC=example,DC=com??sub?(&(objectClass=group)(member:1.2.840.113556.1.4.1941:={USER}))"

MongoDB asigna cada grupo devuelto del nombre distinguido a un rol en la admin base de datos. Para cada grupo mapeado nombre distinguido, si existe un rol en la base de datos admin cuyo nombre coincida exactamente con el nombre distinguido, MongoDB otorga al usuario los roles y privilegios asignados a ese rol.

La regla de coincidencia LDAP_MATCHING_RULE_IN_CHAIN requiere proporcionar el DN completo del usuario que se autentica. Si los usuarios se autentican con un formato de nombre de usuario diferente,user principal name como, debe transformar los nombres de usuario entrantes en DN security.ldap.userToDNMappingusando.

Opcional: transformar los nombres de usuario entrantes para la autenticación a través de Active Directory,

Si sus usuarios se autentican con un nombre de usuario que no es un DN LDAP completo, es posible que deba transformarlo para que admita la autenticación o autorización LDAP. MongoDB utiliza el nombre de usuario transformado tanto para la autenticación como para la autorización.

En el archivo de configuración de MongoDB, configure para transformar el nombre de usuario proporcionado userToDNMapping por el usuario que realiza la autenticación en un DN de AD para queryTemplate admitir.

security:
  ldap:
    userToDNMapping:
      '[
         {
            match : "(.+)",
            ldapQuery: "DC=example,DC=com??sub?(userPrincipalName={0})"
         }
    ]'

Debe modificar la configuración de ejemplo proporcionada para que coincida con su implementación. Por ejemplo, el ldapQuery DN base debe coincidir con el DN base que contiene sus entidades de usuario. Es posible que se requieran otras modificaciones para que su implementación de AD sea compatible.

DC=example,DC=com??sub?(userPrincipalName=alice@ENGINEERING.EXAMPLE.COM)

Configurar credenciales de consulta.

MongoDB requiere credenciales para realizar consultas en el servidor AD.

Configure los siguientes ajustes en el archivo de configuración:

• security.ldap.bind.queryUser, especificando el usuario de Active Directory al que mongod mongos se vincula o para realizar consultas en el servidor de AD.

• security.ldap.bind.queryPassword, especificando la contraseña para el queryUser especificado.

security:
  ldap:
    bind:
      queryUser: "mongodbadmin@dba.example.com"
      queryPassword: "secret123"

En los servidores MongoDB de Windows,security.ldap.bind.useOSDefaults puede true configurar a para usar las credenciales del usuario del sistema operativo en lugar de queryUser queryPasswordy.

El debe tener permiso para realizar todas las consultas LDAP en nombre de queryUser MongoDB.

Opcional: agregue configuraciones adicionales.

Agregue las opciones de configuración adicionales necesarias para su implementación. Por ejemplo, puede especificar el storage.dbPath número deseado net.port o cambiar el valor predeterminado.

mongod y se enlazan a localhost de forma predeterminada. Si los miembros de su implementación se ejecutan en mongos net.bindIp hosts diferentes o si desea que los clientes remotos se conecten a su implementación, debe especificar la configuración.

Inicie el servidor MongoDB con autenticación y autorización de Active Directory.

Inicie el servidor MongoDB con la opción, especificando la ruta al archivo de configuración creado durante este procedimiento. Si el servidor MongoDB está en ejecución, realice los preparativos necesarios para --config detenerlo.

mongod --config <path-to-config-file>

Las implementaciones de Windows MongoDB deben usar en mongod.exe lugar mongod de.

Conéctese al servidor de MongoDB.

Conéctese al servidor MongoDB y autentífiquese como un usuario cuya membresía de grupo directa o transitiva corresponde a un rol MongoDB en la admin base de userAdmin userAdminAnyDatabasedatos con, o un rol personalizado con privilegios equivalentes.

Utilice para autenticarse en el servidor MongoDB, configure las siguientes mongosh opciones:

• --host con el nombre de host del servidor MongoDB

• --port con el puerto del servidor MongoDB

• --username al nombre de usuario del usuario

• --password a la contraseña del usuario

• --authenticationMechanism to 'PLAIN'

• --authenticationDatabase to '$external'

mongosh --username sam@DBA.EXAMPLE.COM --password  --authenticationMechanism 'PLAIN' --authenticationDatabase '$external' --host <hostname> --port <port>

Windows Las implementaciones de MongoDB deben usar mongo.exe en lugar de mongosh.

Dados los usuarios de Active Directory configurados, el usuario se autentica correctamente y recibe los permisos adecuados.

Crear roles para mapear grupos de AD devueltos.

Para cada grupo en el servidor AD que desee utilizar para la autorización de MongoDB, debe crear un rol coincidente en la admin base de datos del servidor MongoDB.

db.getSiblingDB("admin").createRole(
   {
     role: "CN=PrimaryApplication,CN=Users,DC=example,DC=com",
     privileges: [],
     roles: [
       { role: "readWrite", db: "PrimaryApplication" }
     ]
   }
)

Transición de usuarios existentes de $external al servidor ActiveDirectory

Si actualiza una instalación existente con usuarios configurados en la $external base de datos, debe cumplir los siguientes requisitos para cada usuario para garantizar el acceso después de configurar MongoDB para la autenticación y autorización de AD:

• El usuario tiene un objeto de usuario correspondiente en el servidor AD.

• El usuario es miembro de los grupos apropiados en el servidor AD.

• MongoDB contiene los roles en la admin base de datos nombrados para los grupos de AD del usuario, de modo que el usuario autorizado conserva sus privilegios.

{
  user : "joe@ANALYTICS.EXAMPLE.COM",
  roles: [
    { role : "read", db : "web_analytics" },
    { role : "read", db : "PrimaryApplication" }
  ]
}

db.getSiblingDB("admin").createRole(
   {
     role: "CN=marketing,CN=Users,DC=example,DC=com",
     privileges: [],
     roles: [
       { role: "read", db: "web_analytics" }
       { role: "read", db: "PrimaryApplication" }
     ]
   }
)

Si desea seguir permitiendo que los usuarios de$external bases de datos distintas a accedan a MongoDB, debe incluir el mecanismo de autenticación SCRAM (p. ej., SCRAM-SHA-1 SCRAM-SHA-256o) en la opción de configuración. Por setParameter authenticationMechanisms ejemplo:

setParameter:
  authenticationMechanisms: "PLAIN,SCRAM-SHA-1,SCRAM-SHA-256"

Como alternativa, realice la transición de$external usuarios que no sean a AD siguiendo el procedimiento anterior.