注意
MongoDB 8.0以降、 LDAP認証と認可は非推奨です。 この機能は利用可能であり、 MongoDB 8のサポート期間中に変更されずに動作し続けます。 LDAPは将来のメジャー リリースで削除される予定です。
詳細については、「LDAP の廃止」を参照してください。
Cloud Manager を使用すると、Cloud Manager エージェントを含むすべてのクライアントが MongoDB 配置に接続するために使用する認証メカニズムを構成できます。 プロジェクトごとに複数の認証メカニズムを有効にできますが、エージェントには 1 つのメカニズムのみを選択する必要があります。
MongoDB Enterpriseは、 LDAP(Lightweight Directory Access Protocol)サービスへの認証リクエストのプロキシ機能をサポートしています。
LDAP は MongoDB Enterprise ビルドでのみ利用可能です。 MongoDB Community ビルドで実行している既存の配置がある場合は、Cloud Manager プロジェクトで LDAPを有効にする前に、それらを MongoDB Enterprise にアップグレードする必要があります。
Considerations
MongoDB Enterprise は、 saslauthdおよびオペレーティング システム ライブラリ経由で、LDAP(Lightweight Directory Access Protocol)サーバーへのシンプルなバインディングと SASL バインディングをサポートしています。
MongoDB Enterprise for Linux は、
saslauthdまたはオペレーティング システム ライブラリを介して、LDAPサーバーにバインドできます。MongoDB Enterprise for Windows は、オペレーティング システム ライブラリを介して LDAPサーバーにバインドできます。
LDAP と SASL の設定方法については、 MongoDBマニュアルの「 LDAP プロキシ認証 」および「 LDAP 認証 」のセクションを参照してください。
LDAP 認証の有効化
この手順では、オートメーションを使用する配置で LDAP認証を構成して有効にする方法について説明します。
MongoDB Cloud MongoDB Cloud ManagerManagerで、プロジェクトのGo {0 ページにGoします。Deployment
まだ表示されていない場合は、目的のプロジェクトを含む組織をナビゲーション バーの Organizations メニューで選択します。
まだ表示されていない場合は、ナビゲーション バーのProjectsメニューから目的のプロジェクトを選択します。
Deployment ページがまだ表示されていない場合は、サイドバーの Deployment をクリックします。
配置ページが表示されます。
Security ページに移動します。
配置の [ Security ] タブをクリックします。
[セキュリティ ]ページが表示されます。
TLS 設定を指定します。
フィールド | アクション |
|---|---|
MongoDB 配置トランスポート層セキュリティ (TLS) | このスライダーをONに切り替えます。 |
TLS CA ファイルパス | TLS認証局ファイルは、証明機関からのルート証明書チェーンを含む 証明ファイルの暗号化された秘密キーは、 MongoDB プロセスを実行しているすべてのホスト上のTLS認証局ファイルへのファイル パスを入力します。
これにより、プロジェクト内の MongoDB プロセスの Validateをクリックして、指定したパスで配置内の各ホストにTLS認証局があることをテストします。 |
クライアント証明書モード | TLS 対応の MongoDB 配置に接続するときにクライアント アプリケーションまたは MongoDB エージェントが TLS 証明書を提示する必要がある場合は、 を選択します。MongoDB の各配置では、接続時にこれらのクライアント ホストからの証明書がチェックされます。 クライアントTLS証明書を要求する場合は、有効であることを確認します。 指定できる値は次のとおりです。 |
LDAP 認証設定を構成します。 (任意)
警告: MongoDB 3.4 以降では、最初に LDAP認可を有効にしている限り、$externalデータベースにローカル ユーザー ドキュメントが必要なく、LDAP、Kerberos、または X.509 証明書を使用してユーザーを認証できます。このようなユーザーが正常に認証されると、 MongoDB はLDAPサーバーに対してクエリを実行して、LDAP ユーザーが持つすべてのグループを取得し、それらのグループを同等のMongoDBロールに変換します。
前の手順でSaslauthdを選択した場合は、この手順をスキップします。
Native LDAP Authenticationを選択した場合は、次の手順を実行します。
次の値を指定します。
設定値Server URL
1 つ以上の LDAP サーバーの
hostname:portの組み合わせを指定します。輸送セキュリティ
LDAP クエリを暗号化するには、
TLSを選択します。 LDAP クエリを暗号化する必要がない場合は、Noneを選択します。タイムアウト(ミリ秒)
認証リクエストがタイムアウトするまでの待機時間を指定します。
バインド方法
SASLまたはSimpleのいずれかを選択します。重要:
Simpleバインド方法を選択する場合、 Transport SecurityからTLSを選択します。Simpleバインド方法ではパスワードがプレーン テキストで渡されるためです。SASL メカニズム
MongoDB が LDAP サーバーで使用する SASL 認証サービスを指定します。
クエリユーザー(LDAP バインド DN)
LDAP サーバーに接続するときに MongoDB がバインドする LDAP 識別名を指定します。
クエリ パスワード(LDAP バインド DN)
LDAP サーバーに接続するときに MongoDB がバインドするパスワードを指定します。
LDAP ユーザー キャッシュ無効化間隔(s)
MongoDB が LDAP ユーザー キャッシュをフラッシュするまでの待機時間を指定します。 デフォルトは
30秒です。ユーザーから識別名へのマッピング
認証された MongoDB ユーザー名に対して MongoDB が実行する順序付き変換を提供する JSON ドキュメントの配列を指定します。 次に、MongoDB は変換されたユーザー名を LDAP DN と照合します。
Validate LDAP Server Config
LDAP サーバー構成を検証するには
ONを選択し、検証をスキップするにはOFFを選択します。ONと構成が無効な場合、MongoDB 配置は開始されません。LDAP Authorizationセクションで、次のフィールドに値を入力します。
設定値LDAP Authorization
LDAP 認可を有効にするには、 をONに切り替えます。
Authorization Query Template
LDAP ユーザーの LDAP グループのリストを取得するには、LDAP クエリ URL のテンプレートを指定します。
User to Distinguished Name Mapping
認証された MongoDB ユーザー名に対して MongoDB が実行する順序付き変換を提供する JSON ドキュメントの配列を指定します。 次に、MongoDB は変換されたユーザー名を LDAP DN と照合します。
{{mechanism}} を使用して MongoDB 配置に接続するようにエージェントを構成します。
重要: Cloud Managerでは、エージェントが配置ごとに 1 つのメカニズムを使用するように制限されています。
Agent Auth Mechanismセクションから {{mechanism}} オプションを選択します。
MongoDB Agent の認証情報を提供します。
設定値MongoDB Agent Username
LDAPユーザー名を入力します。
MongoDB Agent Password
エージェントのLDAPユーザー名 のパスワードを入力します。
MongoDB Agent LDAP グループ DN
LDAP 認証を有効にした場合は、MongoDB Agent ユーザーがメンバーであるグループの DN を入力します。
LDAP グループの MongoDB ロールを作成します。 (任意)
LDAP 認可を有効にした後、LDAP 認可に指定した LDAP グループごとにカスタム MongoDB ロールを作成する必要があります。
Cloud Manager がモニタリングまたはバックアップを管理しない場合は、LDAP を使用するようにそれらを手動で構成する必要があります。LDAP を構成するには、「 LDAP 用のMongoDB Agent の構成 」を参照してください。
認証と TLS 設定をリセットする
注意
プロジェクトの認証と TLS 設定をリセットするには、まずプロジェクト内でCloud Manager が管理するMongoDB配置の管理を解除します。
LDAP 認証パスワードのローテーション
この手順では、オートメーションを使用する配置で LDAP認証資格情報をローテーションする方法について説明します。
MongoDB Cloud ManagerGoDeploymentMongoDB Cloud Managerで、プロジェクトの ページにGoします。
まだ表示されていない場合は、目的のプロジェクトを含む組織をナビゲーション バーの Organizations メニューで選択します。
まだ表示されていない場合は、ナビゲーション バーのProjectsメニューから目的のプロジェクトを選択します。
Deployment ページがまだ表示されていない場合は、サイドバーの Deployment をクリックします。
配置ページが表示されます。
Security ページに移動します。
配置の [ Security ] タブをクリックします。
[セキュリティ ]ページが表示されます。
TLS 設定を指定します。
フィールド | アクション |
|---|---|
MongoDB 配置トランスポート層セキュリティ (TLS) | このスライダーをONに切り替えます。 |
TLS CA ファイルパス | TLS認証局ファイルは、証明機関からのルート証明書チェーンを含む
MongoDB プロセスを実行しているすべてのホスト上のTLS認証局ファイルへのファイル パスを入力します。
これにより、プロジェクト内の MongoDB プロセスの Validateをクリックして、指定したパスで配置内の各ホストにTLS認証局があることをテストします。 |
クライアント証明書モード | TLS 対応の MongoDB 配置に接続するときにクライアント アプリケーションまたは MongoDB エージェントが TLS 証明書を提示する必要がある場合は、 を選択します。MongoDB の各配置では、接続時にこれらのクライアント ホストからの証明書がチェックされます。 クライアントTLS証明書を要求する場合は、有効であることを確認します。 指定できる値は次のとおりです。 |
LDAP 認証パスワードをローテーションします。 (任意)
重要: 最初に LDAP認可を有効にしている限り、$externalデータベースにローカル ユーザー ドキュメントが存在しなくても、LDAP、Kerberos、または X.509 証明書を使用してユーザーを認証できます。このようなユーザーが正常に認証されると、 MongoDB はLDAPサーバーに対してクエリを実行して、LDAP ユーザーが持つすべてのグループを取得し、それらのグループを同等のMongoDBロールに変換します。
Native LDAP Authentication を選択したことを確認し、次の手順を実行します。
次の値を指定します。
設定値Server URL
1 つ以上の LDAP サーバーの
hostname:portの組み合わせを指定します。輸送セキュリティ
LDAP クエリを暗号化するには、
TLSを選択します。 LDAP クエリを暗号化する必要がない場合は、Noneを選択します。タイムアウト(ミリ秒)
認証リクエストがタイムアウトするまでの待機時間を指定します。
バインド方法
SASLまたはSimpleのいずれかを選択します。重要:
Simpleバインド方法を選択する場合、 Transport SecurityからTLSを選択します。Simpleバインド方法ではパスワードがプレーン テキストで渡されるためです。SASL メカニズム
MongoDB が LDAP サーバーで使用する SASL 認証サービスを指定します。
クエリユーザー(LDAP バインド DN)
LDAP サーバーに接続するときに MongoDB がバインドする LDAP 識別名を指定します。
クエリ パスワード(LDAP バインド DN)
LDAP サーバーに接続するときに MongoDB がバインドするパスワードを指定します。
新しいクエリ パスワード(LDAP バインド DN)
LDAPサーバーに接続するときにMongoDBがバインドする新しいパスワードを指定します。 このフィールドに新しいパスワードを指定すると、クエリ パスワードをスムーズにローテーションできます。
重要: LDAPサーバー側でパスワードをローテーションした後、New Query Passwordフィールドの内容を Query Passwordフィールドに移動し、New Query Passwordフィールドを空にします。
LDAP ユーザー キャッシュ無効化間隔(s)
MongoDB が LDAP ユーザー キャッシュをフラッシュするまでの待機時間を指定します。 デフォルトは
30秒です。ユーザーから識別名へのマッピング
認証された MongoDB ユーザー名に対して MongoDB が実行する順序付き変換を提供する JSON ドキュメントの配列を指定します。 次に、MongoDB は変換されたユーザー名を LDAP DN と照合します。
Validate LDAP Server Config
LDAP サーバー構成を検証するには
ONを選択し、検証をスキップするにはOFFを選択します。ONと構成が無効な場合、MongoDB 配置は開始されません。LDAP Authorizationセクションで、次のフィールドに値を入力します。
設定値LDAP Authorization
LDAP 認可を有効にするには、 をONに切り替えます。
Authorization Query Template
LDAP ユーザーの LDAP グループのリストを取得するには、LDAP クエリ URL のテンプレートを指定します。
User to Distinguished Name Mapping
認証された MongoDB ユーザー名に対して MongoDB が実行する順序付き変換を提供する JSON ドキュメントの配列を指定します。 次に、MongoDB は変換されたユーザー名を LDAP DN と照合します。
{{mechanism}} を使用して MongoDB 配置に接続するようにエージェントを構成します。
重要: Cloud Managerでは、エージェントが配置ごとに 1 つのメカニズムを使用するように制限されています。
Agent Auth Mechanismセクションから {{mechanism}} オプションを選択します。
MongoDB Agent の認証情報を提供します。
設定値MongoDB Agent Username
LDAPユーザー名を入力します。
MongoDB Agent Password
エージェントのLDAPユーザー名 のパスワードを入力します。
MongoDB Agent LDAP グループ DN
LDAP 認証を有効にした場合は、MongoDB Agent ユーザーがメンバーであるグループの DN を入力します。
LDAP グループの MongoDB ロールを作成します。 (任意)
LDAP 認可を有効にした後、LDAP 認可に指定した LDAP グループごとにカスタム MongoDB ロールを作成する必要があります。