Ops Manager 프로젝트에 x.509 인증 활성화

이 페이지의 내용

전제 조건

절차

Ops Manager를 사용하면 Ops Manager 에이전트를 포함한 모든 클라이언트가 MongoDB deployment에 연결하는 데 사용하는 인증 메커니즘을 구성할 수 있습니다. 각 프로젝트에 대해 여러 인증 메커니즘을 활성화할 수 있지만 에이전트에 대해서는 하나의 메커니즘만 선택해야 합니다.

MongoDB는 보안 TLS/SSL 연결 에 사용할 수 있도록 x.509 클라이언트 및 멤버 인증서 인증을 지원합니다. x.509 인증을 통해 사용자 및 기타 구성원은 사용자 이름과 비밀번호 대신 인증서를 사용하여 서버를 인증할 수 있습니다.

전제 조건

중요

전송 계층 보안 에 대한 전체 설명 , 공개 키 인프라, X.509 인증서 및 인증 기관 이 튜토리얼의 범위를 초과합니다. 이 튜토리얼에서는 TLS 에 대한 사전 지식이 있고 유효한 X.509 인증서에 액세스할 수 있다고 가정합니다.

절차

이 절차에서는 자동화를 사용할 때 x.509 인증을 구성하고 활성화하는 방법을 설명합니다. Ops Manager가 에이전트를 managed하지 않는 경우 x.509 인증을 사용하도록 수동으로 구성해야 합니다.

참고

자세한 내용은 X.509 인증을 위한 MongoDB Agent 구성을 참조하세요.

x.509 인증서 인증을 위한 기존 배포서버 준비

중요

x.509 클라이언트 인증서 인증을 사용하려면 TLS/SSL 이 필요합니다. Ops Manager가 하나 이상의 기존 배포를 managed 경우, x.509 인증을 활성화하기 전에 MongoDB 배포의 각 프로세스에서 TLS/SSL 을 활성화해야 합니다.

참고

TLS/SSL 이 이미 활성화되어 있는 경우 이 절차를 건너뛸 수 있습니다.

배포에 대한 Clusters 보기로 이동합니다.

이미 표시되어 있지 않은 경우 탐색 모음의 Organizations 메뉴에서 원하는 프로젝트가 포함된 조직을 선택합니다.
이미 표시되어 있지 않은 경우 Projects 탐색 모음의 프로젝트 메뉴에서 원하는 프로젝트를 선택합니다.
아직 표시되지 않은 경우 사이드바에서 Deployment 클릭하세요.

Clusters 0} 보기를 클릭합니다.

프로세스를 나열하는 줄에서 Modify을 클릭합니다.

Advanced Configuration Options 섹션을 확장합니다.

TLS/SSL 시작 옵션을 설정합니다.

Add Option 을 클릭하여 다음 각 옵션을 추가합니다.

옵션	필수 사항	값
`tlsMode`	필수 사항	`requireTLS`0}을 선택합니다.
`tlsCertificateKeyFile`	필수 사항	서버 인증서의 절대 경로를 제공합니다.
`tlsCertificateKeyFilePassword`	필수 사항	암호화한 경우 PEM 키 파일 비밀번호를 제공합니다. 중요 인증서 파일의 암호화된 비공개 키가 `.pem` PKCS #8 에 있는 경우 형식의 경우 PBES2 를 사용해야 합니다. 암호화 작업. MongoDB Agent는8 다른 암호화 작업과 함께 PKCS # 를 지원하지 않습니다.
`tlsFIPSMode`	옵션	FIPS 모드를 활성화하려면 `true` 를 선택합니다.

각 옵션을 추가한 후 Add 을 클릭합니다.
필요한 옵션을 추가했으면 Save 을 클릭합니다.

Save 를 클릭합니다.

변경 사항을 검토하려면 Review & Deploy을(를) 클릭합니다.

변경 사항을 배포하려면 Confirm & Deploy을(를) 클릭합니다.

그렇지 않으면 Cancel을(를) 클릭하면 추가로 변경할 수 있습니다.

x.509 구성원 인증서 인증을 위한 기존 배포 구성

참고

이 절차는 선택 사항입니다. 이것은 복제본 세트 또는 샤드 cluster의 멤버도 x.509 인증서를 사용하여 서로를 인증할 수 있습니다. 구성되지 않은 경우에도 복제본 세트와 샤드 cluster 멤버는 keyFile 인증을 사용하여 서로를 인증할 수 있습니다.

경고

이 절차는 되돌릴 수 없습니다.

프로젝트의 모든 배포에 대해 x.509 구성원 인증서 인증을 활성화하는 경우 배포에 대해 x.509 구성원 인증서 인증을 비활성화하거나 프로젝트 수준에서 x.509 클라이언트 인증을 비활성화할 수 없습니다.

프로젝트의 배포에 대해 x.509 구성원 인증서 인증을 사용하도록 설정해도 프로젝트의 다른 배포에 대해 x.509 구성원 인증서 인증을 사용하거나 필요로 하지 않습니다. 선택적으로 프로젝트에서 서로 다른 배포가 x.509 멤버 인증서 인증을 사용하도록 허용할 수 있습니다.

중요

MongoDB Agent PEM을 구성하고 security.clusterAuthMode: x509 로 설정하면 mongod 로그 파일에 Client connecting with server's own TLS certificate 경고가 표시되어 클라이언트가 서버의 자체 TLS 인증서로 연결 중임을 나타냅니다.

이는 MongoDB Agent가 내부 권한 부여 구성을 사용하여 Ops Manager에 연결하기 때문에 예상된 동작입니다. 별도의 조치가 필요하지 않습니다.

배포에 사용할 Clusters 보기로 이동합니다.

이미 표시되어 있지 않은 경우 탐색 모음의 Organizations 메뉴에서 원하는 프로젝트가 포함된 조직을 선택합니다.
이미 표시되어 있지 않은 경우 Projects 탐색 모음의 프로젝트 메뉴에서 원하는 프로젝트를 선택합니다.
아직 표시되지 않은 경우 사이드바에서 Deployment 클릭하세요.

Clusters 0} 보기를 클릭합니다.

프로세스를 나열하는 줄에서 Modify을 클릭합니다.

Advanced Configuration Options 섹션을 확장합니다.

x.509 시작 옵션을 설정합니다.

Add Option 을 클릭하여 각 옵션을 추가합니다.

옵션	값
`clusterAuthMode`	`x509`0}을 선택합니다.
`clusterFile`	멤버 PEM 키 파일의 경로를 제공합니다.

각 옵션 뒤에 Add 을(를) 클릭합니다.

Save 를 클릭합니다.

변경 사항을 검토하려면 Review & Deploy을(를) 클릭합니다.

변경 사항을 배포하려면 Confirm & Deploy을(를) 클릭합니다.

그렇지 않으면 Cancel을(를) 클릭하면 추가로 변경할 수 있습니다.

배포된 각 프로세스에 대해 TLS/SSL 옵션을 구성한 경우 Ops Manager 프로젝트에 대해 x.509 인증을 활성화할 수 있습니다.

Ops Manager 프로젝트에 x.509 클라이언트 인증서 인증 활성화

배포서버를 위한 Security Settings 대화 상자로 이동합니다.

이미 표시되어 있지 않은 경우 탐색 모음의 Organizations 메뉴에서 원하는 프로젝트가 포함된 조직을 선택합니다.
이미 표시되어 있지 않은 경우 Projects 탐색 모음의 프로젝트 메뉴에서 원하는 프로젝트를 선택합니다.
아직 표시되지 않은 경우 사이드바에서 Deployment 클릭하세요.

Security 탭을 클릭합니다.
Settings 탭을 클릭합니다.
다음 작업 중 하나를 수행합니다.
- 이 프로젝트에 대한 TLS, 인증 또는 권한 부여 설정을 처음 구성하는 경우 Get Started을(를) 클릭합니다.
- 이 프로젝트에 대한 TLS 인증 또는 권한 부여 설정을 이미 구성한 경우 Edit을(를) 클릭합니다.

TLS 설정을 지정합니다.

필드

작업

MongoDB deployment TLS(전송 계층 보안)

이 슬라이더를 ON(으)로 전환합니다.

TLS CA 파일 경로

TLS 인증 기관 파일은 인증 기관의 루트 인증서 체인을 포함하는 .pem 형식의 인증서 파일입니다. MongoDB Agent는 동일한 인증 기관 파일을 사용하여 배포서버의 모든 항목에 연결합니다.

참고

인증서 파일의 암호화된 비공개 키는 .pem PKCS #1 에 있어야 합니다. 형식. MongoDB Agent가 PKCS를 지원하지 않습니다.8 # 형식.

MongoDB 프로세스를 실행하는 모든 호스트에서 TLS 인증 기관 파일의 파일 경로를 입력합니다.

첫 번째 상자에 모든 Linux 호스트의 파일 경로를 입력합니다.
두 번째 상자에 모든 Windows 호스트의 파일 경로를 입력합니다.

이렇게 하면 프로젝트의 MongoDB 프로세스에 대한 net.tls.CAFile 설정이 활성화됩니다.

배포서버의 각 호스트에 지정된 경로에 TLS 인증 기관이 있는지 테스트하려면 Validate을(를) 클릭하세요.

클라이언트 인증서 모드

TLS 지원 MongoDB deployment에 연결할 때 클라이언트 애플리케이션 또는 MongoDB Agent가 TLS 인증서를 제시해야 하는지 여부를 선택합니다. 각 MongoDB deployment는 연결을 시도할 때 이러한 클라이언트 호스트의 인증서를 확인합니다. 클라이언트 TLS 인증서를 요구하도록 선택한 경우 인증서가 유효한지 확인하세요.

허용되는 값은 다음과 같습니다.


옵션	모든 클라이언트는 MongoDB deployment에 연결할 때 유효한 TLS 인증서를 제시할 수 있습니다. 을 로 설정 하지 않은 경우 MongoDB Agents가 TLS 인증서를 사용할 `mongod` `tlsMode` 수 `None` 있습니다.
필수 사항	이 프로젝트의 모든 MongoDB deployment는 TLS로 암호화된 네트워크 연결로 시작됩니다. 모든 에이전트는 TLS를 사용하여 모든 MongoDB deployment에 연결해야 합니다.

인증 메커니즘을 선택합니다.

MongoDB Agent Connections to Deployment 섹션에서 X.509 Client Certificate (MONGODB-X509)를 선택합니다.

중요

LDAP 권한 부여를 사용하지 않는 경우, MongoDB deployment의 $external 데이터베이스에 사용자를 추가해야 합니다. 예를 보려면 x를 참조하세요.509 클라이언트 인증서 인증.

LDAP 권한 부여 설정을 구성합니다.

중요

MongoDB 3.4부터는 먼저 LDAP 권한 부여를 활성화하는 한 $external 데이터베이스에 로컬 사용자 문서 없이도 LDAP, Kerberos 및 X.509 인증서를 사용하여 사용자를 인증할 수 있습니다. 이러한 사용자가 성공적으로 인증되면 MongoDB는 LDAP 서버에 대해 쿼리를 수행하여 LDAP 사용자가 소유한 모든 그룹을 검색하고 해당 그룹을 동등한 MongoDB 역할로 변환합니다.

LDAP 권한 부여를 활성화하지 않으려면 이 단계를 건너뛰세요.

다음 필드에 값을 입력합니다.

설정	값
LDAP Authorization	LDAP 권한 부여를 활성화하려면 ON 으)로 토글합니다.
Authorization Query Template	LDAP 사용자에 대한 LDAP 그룹 목록을 조회하려면 LDAP 쿼리 URL 템플릿을 지정하세요.

에이전트에 대해 X.509 Client Certificate (MONGODB-X509) 를 구성합니다.

MongoDB deployment에 인증 메커니즘을 두 개 이상 활성화할 수 있지만 Ops Manager 에이전트는 인증 메커니즘을 하나만 사용할 수 있습니다. MongoDB deployment에 연결하려면 X.509 Client Certificate (MONGODB-X509) 을 선택합니다.

Agent Auth Mechanism 섹션에서 X.509 Client Certificate (MONGODB-X509) 옵션을 선택합니다.

MongoDB Agent에 대한 자격 증명을 제공합니다.

설정	값
MongoDB Agent Username	에이전트의 PEM 키 파일에서 파생된 LDAPv3 고유 이름을 입력합니다.
MongoDB Agent Certificate File	해당 운영 체제에 해당하는 서버에 있는 에이전트의 PEM 키 파일 경로와 파일 이름을 입력합니다.
MongoDB Agent Certificate Password	PEM 키 파일이 암호화된 경우 해당 파일의 비밀번호를 제공합니다.

Save Settings 를 클릭합니다.

변경 사항을 검토하려면 Review & Deploy을(를) 클릭합니다.

변경 사항을 배포하려면 Confirm & Deploy을(를) 클릭합니다.

그렇지 않으면 Cancel을(를) 클릭하면 추가로 변경할 수 있습니다.

LDAP 그룹에 대한 MongoDB 역할을 생성합니다. (선택 사항)

LDAP 권한 부여를 활성화한 후에는 LDAP 권한 부여에 지정한 각 LDAP 그룹에 대해 사용자 지정 MongoDB 역할을 생성 해야 합니다.

← Ops Manager 프로젝트에 OIDC 인증 활성화

MongoDB 사용자 및 역할 관리 →

전제 조건

중요

절차

참고

x.509 인증서 인증을 위한 기존 배포서버 준비

중요

참고

배포에 대한 .css-h15tq0{font-style:normal;font-weight:700;}Clusters 보기로 이동합니다.

프로세스를 나열하는 줄에서 Modify을 클릭합니다.

Advanced Configuration Options 섹션을 확장합니다.

TLS/SSL 시작 옵션을 설정합니다.

중요

Save 를 클릭합니다.

변경 사항을 검토하려면 Review & Deploy을(를) 클릭합니다.

변경 사항을 배포하려면 Confirm & Deploy을(를) 클릭합니다.

x.509 구성원 인증서 인증을 위한 기존 배포 구성

참고

경고

이 절차는 되돌릴 수 없습니다.

중요

배포에 사용할 Clusters 보기로 이동합니다.

프로세스를 나열하는 줄에서 Modify을 클릭합니다.

Advanced Configuration Options 섹션을 확장합니다.

x.509 시작 옵션을 설정합니다.

Save 를 클릭합니다.

변경 사항을 검토하려면 Review & Deploy을(를) 클릭합니다.

변경 사항을 배포하려면 Confirm & Deploy을(를) 클릭합니다.

Ops Manager 프로젝트에 x.509 클라이언트 인증서 인증 활성화

배포서버를 위한 Security Settings 대화 상자로 이동합니다.

TLS 설정을 지정합니다.

참고

인증 메커니즘을 선택합니다.

중요

LDAP 권한 부여 설정을 구성합니다.

중요

에이전트에 대해 X.509 Client Certificate (MONGODB-X509) 를 구성합니다.

Save Settings 를 클릭합니다.

변경 사항을 검토하려면 Review & Deploy을(를) 클릭합니다.

변경 사항을 배포하려면 Confirm & Deploy을(를) 클릭합니다.

LDAP 그룹에 대한 MongoDB 역할을 생성합니다. (선택 사항)

배포에 대한 Clusters 보기로 이동합니다.