Configurar MongoDB autogestionado con Kerberos y autorización de Active Directory

Configurar TLS/SSL para el servidor que ejecuta MongoDB.

Para conectarse al servidor AD (AD) a través de TLS/SSL, mongod o requieren mongos acceso al certificado de autoridad de certificación (CA) del servidor AD.

En Linux, especifique los certificados CA del servidor AD mediante TLS_CACERT TLS_CACERTDIR la ldap.conf opción o en el archivo.

El gestor de paquetes de su plataforma crea el ldap.conf archivo al instalar la dependencia de MongoDB libldap Enterprise. Para obtener la documentación completa sobre el archivo de configuración o las opciones referenciadas, consulte ldap.conf.

En Microsoft Windows, cargue los certificados de la autoridad de certificación (CA) del servidor AD con la herramienta de administración de credenciales de la plataforma. La herramienta de administración de credenciales exacta depende de la versión de Windows. Para usarla, consulte la documentación correspondiente a su versión de Windows.

Si mongod o mongos no pueden acceder a los archivos CA de AD, no podrán crear conexiones TLS/SSL al servidor de Active Directory.

Opcionalmente, configure security.ldap.transportSecurity en none para deshabilitar TLS/SSL.

(Solo Windows) Asignar nombre principal de servicio al servicio MongoDB de Windows.

Para los servidores MongoDB que se ejecutan en el sistema operativo Windows, debe usar setspn.exe para asignar el nombre principal del servicio (SPN) a la cuenta que ejecuta el servicio MongoDB.

setspn.exe -S <service>/<fully qualified domain name> <service account name>

setspn.exe -S mongodb/mongodbserver.example.com mongodb_dev@example.com

(Solo Linux) Cree un archivo de tabla de claves para el servidor MongoDB.

Para los servidores MongoDB que se ejecutan en la plataforma Linux, debe asegurarse de que el servidor tenga una copia del archivo keytab específico de la instancia MongoDB que se ejecuta en ese servidor.

Debe otorgar permisos de lectura al usuario de Linux que ejecuta el servicio MongoDB en el archivo keytab. Anote la ruta completa del archivo keytab.

Conéctese al servidor de MongoDB.

Conéctese al servidor MongoDB usando mongosh usando las opciones --host --port y.

mongosh --host <hostname> --port <port>

Si su servidor MongoDB actualmente aplica autenticación, debe autenticarse en la admin base de datos como un usuario con privilegios de administración de roles, como los proporcionados por o. Incluya userAdmin el correspondiente userAdminAnyDatabase --authenticationMechanism al mecanismo de autenticación configurado en el servidor MongoDB.

mongosh --host <hostname> --port <port> --username <user> --password <pass> --authenticationDatabase="admin" --authenticationMechanism="<mechanism>"

Crear rol administrativo de usuario.

Para administrar usuarios de MongoDB mediante AD, debe crear al menos un rol en la admin base de datos que pueda crear y administrar roles, como los proporcionados por userAdmin o.userAdminAnyDatabase

El nombre del rol debe coincidir exactamente con el nombre distintivo de un grupo de AD. El grupo debe tener al menos un usuario de AD como miembro.

Dados los grupos de Active Directory disponibles, se realiza la siguiente operación:

• Crea un rol denominado para el grupo de AD CN=dba,CN=Users,DC=example,DC=com y

• Le asigna el rol en userAdminAnyDatabase la admin base de datos.

var admin = db.getSiblingDB("admin")
admin.createRole(
   {
     role: "CN=dba,CN=Users,DC=example,DC=com",
     privileges: [],
     roles: [ "userAdminAnyDatabase" ]
   }
)

También puede otorgar el userAdmin rol para cada base de datos en la que el usuario deba tener privilegios administrativos. Estos roles proporcionan los privilegios necesarios para la creación y gestión de roles.

Crear un archivo de configuración de MongoDB.

Un archivo de configuración de MongoDB es un archivo YAML de texto simple con la .conf extensión de archivo.

• Si va a actualizar una implementación existente de MongoDB, copie el archivo de configuración actual y trabaje a partir de esa copia.

• (Solo Linux) Si se trata de una nueva implementación y utilizó el gestor de paquetes de su plataforma para instalar MongoDB Enterprise, la instalación incluye el /etc/mongod.conf archivo de configuración predeterminado. Use dicho archivo o haga una copia para trabajar con él.

• Si no existe dicho archivo, cree un archivo vacío con la extensión .conf y trabaje desde ese nuevo archivo de configuración.

Configurar MongoDB para conectarse a Active Directory.

En el archivo de configuración de MongoDB, asigne security.ldap.servers al host y puerto del servidor de AD. Si su infraestructura de AD incluye varios servidores de AD para la replicación, especifique el host y puerto security.ldap.servers de los servidores como una lista delimitada por comas hasta.

security:
  ldap:
    servers: "activedirectory.example.net"

MongoDB debe vincularse al servidor AD para realizar consultas. De forma predeterminada, MongoDB utiliza el mecanismo de autenticación simple para vincularse al servidor AD.

Como alternativa, puede configurar los siguientes ajustes en el archivo de configuración para vincularse al servidor AD SASL mediante:

• Establezca security.ldap.bind.method en sasl

• security.ldap.bind.saslMechanisms, especificando una string de mecanismos SASL separados por comas que el servidor AD admite.

Este tutorial utiliza el mecanismo de autenticación LDAP predeterminado simple.

Configurar MongoDB para la autenticación Kerberos.

En el archivo de configuración de MongoDB, establezca security.authorization en enabled y setParameter authenticationMechanisms en GSSAPI

Para habilitar la autenticación a través de Kerberos, incluye lo siguiente en el archivo de configuración:

security:
  authorization: "enabled"
setParameter:
  authenticationMechanisms: "GSSAPI"

Configurar la plantilla de consulta LDAP para la autorización.

En el archivo de configuración de MongoDB, establezca en security.ldap.authz.queryTemplate una plantilla de URL de consulta LDAP con formato 4516 RFC.

En la plantilla, puedes usar:

• {USER} marcador de posición para sustituir el nombre de usuario autenticado en la URL de consulta LDAP.

• {PROVIDED_USER} marcador de posición para sustituir el nombre de usuario suministrado, es decir, antes de la autenticación o la transformación LDAP, en la query LDAP.

Diseñá la plantilla de query para recuperar los grupos del usuario.

security:
  ldap:
    authz:
      queryTemplate:
        "DC=example,DC=com??sub?(&(objectClass=group)(member:1.2.840.113556.1.4.1941:={USER}))"

MongoDB asigna cada grupo devuelto del nombre distinguido a un rol en la admin base de datos. Para cada grupo mapeado nombre distinguido, si existe un rol en la base de datos admin cuyo nombre coincida exactamente con el nombre distinguido, MongoDB otorga al usuario los roles y privilegios asignados a ese rol.

La regla de coincidencia LDAP_MATCHING_RULE_IN_CHAIN requiere proporcionar el DN completo del usuario que se autentica. Dado que Kerberos requiere la autenticación con el del userPrincipalName usuario, debe transformar los nombres de usuario entrantes en DN security.ldap.userToDNMappingmediante. El siguiente paso proporciona instrucciones sobre cómo transformar los nombres de usuario entrantes para que sean compatibles queryTemplate con el.

Transformar los nombres de usuario entrantes para la autenticación a través de Active Directory.

En el archivo de configuración de MongoDB, configure para transformar el nombre de usuario proporcionado userToDNMapping por el usuario que realiza la autenticación en un DN de AD para queryTemplate admitir.

security:
  ldap:
    userToDNMapping:
      '[
         {
            match : "(.+)",
            ldapQuery: "DC=example,DC=com??sub?(userPrincipalName={0})"
         }
    ]'

Debe modificar la configuración de ejemplo proporcionada para que coincida con su implementación. Por ejemplo, el ldapQuery DN base debe coincidir con el DN base que contiene sus entidades de usuario. Es posible que se requieran otras modificaciones para que su implementación de AD sea compatible.

DC=example,DC=com??sub?(userPrincipalName=alice@ENGINEERING.EXAMPLE.COM)

Configurar credenciales de consulta.

MongoDB requiere credenciales para realizar consultas en el servidor AD.

Configure los siguientes ajustes en el archivo de configuración:

• security.ldap.bind.queryUser, especificando el usuario Kerberos al que se mongod vincula o para realizar consultas mongos en el servidor AD.

• security.ldap.bind.queryPassword, especificando la contraseña para el queryUser especificado.

security:
  ldap:
    bind:
      queryUser: "mongodbadmin@dba.example.com"
      queryPassword: "secret123"

En los servidores MongoDB de Windows,security.ldap.bind.useOSDefaults puede true configurar a para usar las credenciales del usuario del sistema operativo en lugar de queryUser queryPasswordy.

El debe tener permiso para realizar todas las consultas LDAP en nombre de queryUser MongoDB.

Opcional: agregue configuraciones adicionales.

Incluye opciones adicionales según sea necesario para la configuración. Por ejemplo, si se desea que los clientes remotos se conecten a la implementación o si los miembros de la implementación se ejecutan en diferentes hosts, se debe especificar la configuración net.bindIp.

Inicie el servidor MongoDB con autenticación Kerberos y autorización de Active Directory.

Inicie el servidor MongoDB con la opción, especificando la ruta al archivo de configuración creado durante este procedimiento. Si el servidor MongoDB está en ejecución, realice los preparativos necesarios para --config detenerlo.

Linux MongoDB Servers

En Linux, debe especificar la variable ambiental KRB5_KTNAME, especificando la ruta al archivo keytab para el servidor MongoDB.

env KRB5_KTNAME <path-to-keytab> mongod --config <path-to-config-file>

Microsoft Windows MongoDB Servers

En Windows, debe iniciar el servidor MongoDB como la cuenta principal del servicio tal como se configuró anteriormente en el procedimiento:

mongod.exe --config <path-to-config-file>

Conéctese al servidor de MongoDB.

Conéctese al servidor MongoDB y autentífiquese como un usuario cuya membresía de grupo directa o transitiva corresponde a un rol MongoDB en la admin base de userAdmin userAdminAnyDatabasedatos con, o un rol personalizado con privilegios equivalentes.

Utilice para autenticarse en el servidor MongoDB, configure las siguientes mongosh opciones:

• --host con el nombre de host del servidor MongoDB

• --port con el puerto del servidor MongoDB

• --username al usuario userPrincipalName

• --password a la contraseña del usuario (u omitir que solicite la mongosh contraseña)

• --authenticationMechanism to "GSSAPI"

• --authenticationDatabase to "$external"

mongosh --username sam@DBA.EXAMPLE.COM --password  --authenticationMechanisms="GSSAPI" --authenticationDatabase "$external" --host <hostname> --port <port>

Windows Las implementaciones de MongoDB deben usar mongo.exe en lugar de mongosh.

Dados los usuarios de Active Directory configurados, el usuario se autentica correctamente y recibe los permisos adecuados.

Crear roles para mapear grupos de AD devueltos.

Para cada grupo en el servidor AD que desee utilizar para la autorización de MongoDB, debe crear un rol coincidente en la admin base de datos del servidor MongoDB.

db.getSiblingDB("admin").createRole(
   {
     role: "CN=PrimaryApplication,CN=Users,DC=example,DC=com",
     privileges: [],
     roles: [
       { role: "readWrite", db: "PrimaryApplication" }
     ]
   }
)

Opcional: Transición de los usuarios existentes de $external al servidor Active Directory.

Si actualiza una instalación existente con usuarios configurados en la $external base de datos, debe cumplir los siguientes requisitos para cada usuario para garantizar el acceso después de configurar MongoDB para la autenticación Kerberos y la autorización de AD:

• El usuario tiene un objeto de usuario correspondiente en el servidor AD.

• El usuario es miembro de los grupos apropiados en el servidor AD.

• MongoDB contiene los roles en la admin base de datos nombrados para los grupos de AD del usuario, de modo que el usuario autorizado conserva sus privilegios.

{
  user : "joe@ANALYTICS.EXAMPLE.COM",
  roles: [
    { role : "read", db : "web_analytics" },
    { role : "read", db : "PrimaryApplication" }
  ]
}

db.getSiblingDB("admin").createRole(
   {
     role: "CN=marketing,CN=Users,DC=example,DC=com",
     privileges: [],
     roles: [
       { role: "read", db: "web_analytics" }
       { role: "read", db: "PrimaryApplication" }
     ]
   }
)

Si desea seguir permitiendo que los usuarios de$external bases de datos que no sean accedan a MongoDB, debe incluir el mecanismo de autenticación SCRAM (por ejemplo, SCRAM-SHA-1 SCRAM-SHA-256y/o) en la setParameter authenticationMechanisms opción de configuración.

setParameter:
  authenticationMechanisms: "GSSAPI,SCRAM-SHA-1,SCRAM-SHA-256"

Como alternativa, realice la transición de$external usuarios que no sean a AD siguiendo el procedimiento anterior.