SCRAM を使用した自己管理型配置でのクライアントの認証

アクセス制御なしで MongoDB を起動

アクセス制御なしでスタンドアロンのmongodインスタンスを起動します。

ターミナルを開き、 mongodユーザーとして次のコマンドを実行します。

mongod --port 27017 --dbpath /var/lib/mongodb

このチュートリアルのmongodインスタンスでは、 port 27017と/var/lib/mongodbデータ ディレクトリが使用されています。

チュートリアルでは、 /var/lib/mongodbディレクトリが存在し、デフォルトのdbPathであることを前提としています。 必要に応じて、別のデータディレクトリまたはポートを指定できます。

インスタンスに接続する

新しいターミナルを開き、 mongoshを使用してクラスターに接続します。

mongosh --port 27017

別の配置に接続する場合は、接続に必要なコマンドライン オプション（ --hostなど）を追加してください。

ユーザー管理者の作成

mongoshを使用する場合

1. adminデータベースへの切り替え

2. 「 userAdminAnyDatabase } ロールとreadWriteAnyDatabaseロールを持つmyUserAdminユーザーを追加する」を参照してください。

use admin
db.createUser(
  {
    user: "myUserAdmin",
    pwd: passwordPrompt(), // or cleartext password
    roles: [
      { role: "userAdminAnyDatabase", db: "admin" },
      { role: "readWriteAnyDatabase", db: "admin" }
    ]
  }
)

userAdminAnyDatabaseロールにより、このユーザーは次の操作を実行できます。

• ユーザーの作成

• ユーザーにロールを付与または取り消す

• カスタムロールを作成または変更する

必要に応じて、ユーザーに追加の 組み込みロールまたはユーザー定義ロールを割り当てることができます。

ユーザーを作成したデータベース（この例ではadmin ）がユーザーの認証データベースになります。 ユーザーはこのデータベースで認証する必要がありますが、他のデータベースでもロールを持つことができます。 ユーザーの認証データベースによって、ユーザーの特権は制限されません。

アクセス制御を使用して MongoDB インスタンスを再起動

mongodインスタンスをシャットダウンします。 mongoshを使用して、次のコマンドを発行します。

db.adminCommand( { shutdown: 1 } )

mongoshを終了します。

アクセス制御を有効にしてmongodを起動します。

• コマンドラインからmongodを起動する場合は、 --authコマンドライン オプションを追加します。

  mongod --auth --port 27017 --dbpath /var/lib/mongodb

• mongod構成ファイル を使用して を起動する場合は、security.authorization 構成ファイル設定を追加します。

  security:
      authorization: enabled

このインスタンスに接続するクライアントは、自分自身を認証する必要があり、割り当てられたロールに応じて決定されたアクションのみを実行できるようになります。

ユーザー管理者として接続と認証

mongoshを使用すると、次のことが可能になります。

mongosh --port 27017  --authenticationDatabase \
    "admin" -u "myUserAdmin" -p

mongosh --port 27017

use admin
db.auth("myUserAdmin", passwordPrompt()) // or cleartext password