Kerberos 인증 및 Active Directory 권한 부여로 MongoDB 구성하기

MongoDB를 실행하는 서버에 대해 TLS/SSL을 구성합니다.

TLS/SSL을 통해 AD (AD) 서버에 연결하려면 mongod 또는 mongos 이(가) AD 서버의 인증 기관(CA) 인증서에 액세스해야 합니다.

Linux에서는 ldap.conf 파일의 TLS_CACERT 또는 TLS_CACERTDIR 옵션을 통해 AD 서버의 CA 인증서를 지정합니다.

플랫폼의 패키지 관리자가 ldap.conf MongoDB Enterprise의 종속성을 설치하는 동안 파일을 libldap 생성합니다. 구성 파일 또는 참조된 옵션에 대한 전체 문서는 ldap.conf 를 참조하세요. .

Microsoft Windows 에서는 플랫폼의 자격 증명 관리 도구를 사용하여 AD 서버의 인증 기관(CA) 인증서를 로드합니다. 정확한 자격 증명 관리 도구는 Windows 버전에 따라 다릅니다. 이 도구를 사용하려면 사용 중인 Windows 버전에 대한 설명서를 참조하세요.

mongod 또는 mongos 가 AD CA 파일에 액세스할 수 없는 경우, Active Directory 서버에 대한 TLS/SSL 연결을 생성할 수 없습니다.

선택적으로 security.ldap.transportSecurity 를 none 로 설정하여 TLS/SSL을 비활성화합니다.

(Windows만 해당) MongoDB Windows 서비스에 서비스 주체 이름을 할당합니다.

Windows 운영 체제에서 실행되는 MongoDB 서버의 경우, 다음을 사용해야 합니다. MongoDB 서비스를 실행하는 계정에 SPN(서비스 주체 이름)을 할당합니다.

setspn.exe -S <service>/<fully qualified domain name> <service account name>

setspn.exe -S mongodb/mongodbserver.example.com mongodb_dev@example.com

(Linux만 해당) MongoDB 서버에 대한 키탭 파일을 생성합니다.

Linux 플랫폼에서 실행되는 MongoDB 서버의 경우, 해당 서버에서 실행 중인 MongoDB 인스턴스와 관련된 키탭 파일 의 복사본이 서버에 있는지 확인해야 합니다.

MongoDB 서비스를 실행하는 Linux 사용자에게 키탭 파일에 대한 읽기 권한을 부여해야 합니다. 키탭 파일 위치의 전체 경로를 기록해 둡니다.

MongoDB 서버에 연결합니다.

및 mongosh --host --port 옵션을 사용하여 를 사용하여 MongoDB 서버에 연결합니다.

mongosh --host <hostname> --port <port>

현재 MongoDB 서버가 인증을 시행하고 있는 경우, userAdmin 또는 userAdminAnyDatabase 에서 제공하는 것과 같은 역할 관리 권한이 있는 사용자로 admin 데이터베이스에 인증해야 합니다. MongoDB 서버의 구성된 인증 메커니즘에 적합한 --authenticationMechanism 를 포함합니다.

mongosh --host <hostname> --port <port> --username <user> --password <pass> --authenticationDatabase="admin" --authenticationMechanism="<mechanism>"

사용자 관리 역할을 만듭니다.

AD 를 사용하여 MongoDB 사용자를 관리하려면 userAdmin 또는 userAdminAnyDatabase 에서제공하는 역할과 같이 역할을 생성하고 관리할 수 있는 admin 데이터베이스에 역할을 하나 이상 생성해야 합니다.

역할의 이름은 AD 그룹의 고유 이름과 정확히 일치해야 합니다. 이 그룹에는 AD 사용자가 한 명 이상 있어야 합니다.

사용 가능한 Active Directory 그룹 이 주어지면 다음 작업이 수행됩니다.

• AD 그룹 CN=dba,CN=Users,DC=example,DC=com 에 해당하는 역할을 생성합니다.

• admin 데이터베이스에서 userAdminAnyDatabase 역할을 할당합니다.

var admin = db.getSiblingDB("admin")
admin.createRole(
   {
     role: "CN=dba,CN=Users,DC=example,DC=com",
     privileges: [],
     roles: [ "userAdminAnyDatabase" ]
   }
)

또는 사용자가 사용자 관리 권한을 가져야 하는 각 데이터베이스에 대해 userAdmin 역할을 부여할 수 있습니다. 이러한 역할은 역할 생성 및 관리에 필요한 권한을 제공합니다.

MongoDB 구성 파일을 만듭니다.

MongoDB 구성 파일 은 파일 확장자가 .conf 인 일반 텍스트 YAML 파일입니다.

• 기존 MongoDB 배포를 업그레이드하는 경우 현재 구성 파일을 복사하고 해당 복사본에서 작업합니다.

• (Linux만 해당) 새 배포 이고 플랫폼의 패키지 관리자를 사용하여 MongoDB Enterprise를 설치한 경우 설치에는 /etc/mongod.conf 기본 구성 파일이 포함됩니다. 해당 기본 구성 파일을 사용하거나 해당 파일의 복사본을 만들어 작업하세요.

• 이러한 파일이 없는 경우 확장자가 .conf 인 빈 파일을 만들고 해당 새 구성 파일에서 작업합니다.

Active Directory에 연결하도록 MongoDB를 구성합니다.

MongoDB 구성 파일에서 security.ldap.servers 를 AD 서버의 호스트 및 포트로 설정합니다. AD 인프라에 복제 목적의 여러 AD 서버가 포함된 경우 서버의 호스트와 포트를 쉼표로 구분된 목록으로 security.ldap.servers 지정하세요.

security:
  ldap:
    servers: "activedirectory.example.net"

쿼리를 수행하려면 MongoDB가 AD 서버에 바인딩되어야 합니다. 기본적으로 MongoDB는 간단한 인증 메커니즘을 사용하여 AD 서버에 자체적으로 바인딩합니다.

또는 구성 파일에서 다음 설정을 구성하여 SASL 를 사용하여 AD 서버에 바인딩할 수 있습니다.

• security.ldap.bind.method 를 sasl로 설정합니다.

• security.ldap.bind.saslMechanisms, AD 서버가 지원하는 쉼표로 구분된 SASL 메커니즘 문자열을 지정합니다.

이 튜토리얼에서는 기본 simple LDAP 인증 메커니즘을 사용합니다.

Kerberos 인증을 위해 MongoDB를 구성합니다.

MongoDB 구성 파일에서 security.authorization 를 enabled 로, setParameter authenticationMechanisms 를 GSSAPI로 설정합니다.

Kerberos를 통한 인증을 활성화하려면 구성 파일에 다음을 포함합니다.

security:
  authorization: "enabled"
setParameter:
  authenticationMechanisms: "GSSAPI"

권한 부여를 위해 LDAP 쿼리 템플릿을 구성합니다.

MongoDB 구성 파일에서 를 security.ldap.authz.queryTemplate RFC4516 로 설정합니다. 형식이 지정된 LDAP 쿼리 URL 템플릿입니다.

템플릿에서는 다음 중 하나를 사용할 수 있습니다.

• {USER} 자리 표시자를 사용하여 인증된 사용자 이름을 LDAP 쿼리 URL로 대체합니다.

• {PROVIDED_USER} 인증 또는 LDAP 변환 전에 제공된 사용자 이름은 LDAP 쿼리로 대체하는 자리 표시자입니다. (버전 4.2부터 사용 가능)

사용자 그룹을 조회하기 위한 쿼리 템플릿을 디자인하세요.

security:
  ldap:
    authz:
      queryTemplate:
        "DC=example,DC=com??sub?(&(objectClass=group)(member:1.2.840.113556.1.4.1941:={USER}))"

MongoDB는 반환된 각 그룹 DN 을 admin 데이터베이스의 역할에 매핑합니다. 매핑된 각 그룹 DN 에 대해 admin 데이터베이스에 이름이 정확히 DN 과 일치하는 기존 역할이 있는 경우 MongoDB는 사용자에게 해당 역할에 할당된 역할 및 권한을 부여합니다.

매칭 규칙 LDAP_MATCHING_RULE_IN_CHAIN 에서는 인증 사용자의 전체 고유 이름 을 제공해야 합니다. Kerberos를 userPrincipalName 사용하려면 사용자의 으로 인증해야 하므로 을 사용하여 들어오는 사용자 이름을 DN 으로 security.ldap.userToDNMapping변환해야 합니다. 다음 단계에서는 수신 사용자 이름을 queryTemplate 을 지원하도록 변환하는 방법에 대한 지침을 제공합니다.

Active Directory를 통한 인증을 위해 수신 사용자 이름을 변환합니다.

MongoDB 구성 파일에서 설정하여 userToDNMapping 인증 사용자가 제공한 사용자 이름을 을 지원하는 AD 고유 queryTemplate 이름으로 변환합니다.

security:
  ldap:
    userToDNMapping:
      '[
         {
            match : "(.+)",
            ldapQuery: "DC=example,DC=com??sub?(userPrincipalName={0})"
         }
    ]'

배포서버와 일치하도록 지정된 샘플 구성을 수정해야 합니다. 예를 들어, ldapQuery 기본 고유 이름 은 사용자 엔터티가 포함된 기본 고유 이름 과 일치해야 합니다. AD 배포를 지원하기 위해 다른 수정이 필요할 수 있습니다.

DC=example,DC=com??sub?(userPrincipalName=alice@ENGINEERING.EXAMPLE.COM)

쿼리 자격 증명을 구성합니다.

MongoDB는 AD 서버에서 쿼리를 수행하려면 자격 증명이 필요합니다.

구성 파일에서 다음 설정을 구성합니다.

• , AD security.ldap.bind.queryUser 서버에서 쿼리를 수행하기 mongos 위해 또는 mongod 바인드하는 Kerberos 사용자를 지정합니다.

• security.ldap.bind.queryPassword, 지정된 queryUser 에 대한 비밀번호를 지정합니다.

security:
  ldap:
    bind:
      queryUser: "mongodbadmin@dba.example.com"
      queryPassword: "secret123"

Windows MongoDB Server에서는 security.ldap.bind.useOSDefaults 를 true 로 설정하여 queryUser 및 queryPassword 대신 OS 사용자의 자격 증명을 사용할 수 있습니다.

queryUser 에는 MongoDB를 대신하여 모든 LDAP 쿼리를 수행할 수 있는 권한이 있어야 합니다.

선택 사항: 추가 구성 설정을 추가합니다.

구성에 필요한 추가 옵션을 포함합니다. 예를 들어 원격 클라이언트를 배포에 연결하거나 배포 멤버가 다른 호스트에서 실행되도록 하려면 net.bindIp 설정을 지정합니다.

Kerberos 인증 및 Active Directory 권한 부여를 사용하여 MongoDB 서버를 시작합니다.

이 절차 중에 생성된 구성 파일의 경로를 지정하여 --config 옵션을 사용하여 MongoDB 서버를 시작합니다. 현재 MongoDB 서버가 실행 중인 경우 서버 중지를 위한 적절한 준비를 합니다.

Linux MongoDB Servers

Linux에서는 KRB5_KTNAME 환경 변수를 지정하여 MongoDB 서버의 키탭 파일 경로를 지정해야 합니다.

env KRB5_KTNAME <path-to-keytab> mongod --config <path-to-config-file>

Microsoft Windows MongoDB Servers

Windows 에서는 절차의 앞부분에서 구성된 대로 MongoDB Server를 서비스 주체 계정으로 시작해야 합니다.

mongod.exe --config <path-to-config-file>

MongoDB 서버에 연결합니다.

MongoDB 서버에 연결하여 직접 또는 전이적 그룹 멤버십이 userAdmin, userAdminAnyDatabase 를 가진 admin 데이터베이스의 MongoDB 역할 또는 이와 동등한 권한을 가진 사용자 지정 역할에 해당하는 사용자로 인증합니다.

mongosh 를 사용하여 MongoDB 서버에 인증하고 다음 옵션을 설정합니다.

• --host MongoDB 서버의 호스트 이름 사용

• --port MongoDB 서버의 포트로

• --username 사용자의 userPrincipalName

• --password 를 사용자 비밀번호로 변경합니다(또는 비밀번호를 묻는 mongosh 프롬프트가 표시되지 않도록 생략).

• --authenticationMechanism to "GSSAPI"

• --authenticationDatabase to "$external"

mongosh --username sam@DBA.EXAMPLE.COM --password  --authenticationMechanisms="GSSAPI" --authenticationDatabase "$external" --host <hostname> --port <port>

Windows MongoDB 배포에서는mongosh 대신 mongo.exe 를 사용해야 합니다

구성된 Active Directory 사용자가 주어지면 사용자는 성공적으로 인증되고 적절한 권한을 받습니다.

반환된 AD 그룹을 매핑하기 위한 역할을 만듭니다.

MongoDB 권한 부여에 사용하려는 AD 서버의 각 그룹에 대해 MongoDB 서버의 admin 데이터베이스에서 일치하는 역할을 생성해야 합니다.

db.getSiblingDB("admin").createRole(
   {
     role: "CN=PrimaryApplication,CN=Users,DC=example,DC=com",
     privileges: [],
     roles: [
       { role: "readWrite", db: "PrimaryApplication" }
     ]
   }
)

선택 사항: 기존 사용자를 $external 에서 Active Directory 서버로 전환합니다.

$external 데이터베이스에 구성된 사용자 로 기존 설치를 업그레이드하는 경우 Kerberos 인증 및 AD 권한 부여를 위해 MongoDB를 구성한 후 각 사용자가 액세스할 수 있도록 다음 요구 사항을 충족해야 합니다.

• 사용자는 AD 서버에 해당 사용자 객체가 있습니다.

• 사용자는 AD 서버에서 적절한 그룹의 멤버십이 있습니다.

• MongoDB에는 사용자의 AD 그룹에 따라 명명된 admin 데이터베이스에 대한 역할이 포함되어 있으므로 권한이 부여된 사용자가 해당 권한을 유지할 수 있습니다.

{
  user : "joe@ANALYTICS.EXAMPLE.COM",
  roles: [
    { role : "read", db : "web_analytics" },
    { role : "read", db : "PrimaryApplication" }
  ]
}

db.getSiblingDB("admin").createRole(
   {
     role: "CN=marketing,CN=Users,DC=example,DC=com",
     privileges: [],
     roles: [
       { role: "read", db: "web_analytics" }
       { role: "read", db: "PrimaryApplication" }
     ]
   }
)

$external 이 아닌 데이터베이스의 사용자가 MongoDB에 액세스할 수 있도록 계속 허용하려면 setParameter authenticationMechanisms 구성 옵션에 SCRAM 인증 메커니즘(예: SCRAM-SHA-1 및/또는 SCRAM-SHA-256)을 포함해야 합니다.

setParameter:
  authenticationMechanisms: "GSSAPI,SCRAM-SHA-1,SCRAM-SHA-256"

또는 위의 절차에 따라$external 가 아닌 사용자를 AD 로 전환합니다.