Menu Docs
Página inicial do Docs
/
MongoDB Agent
/

Configurar o MongoDB Agent para Kerberos

O MongoDB Enterprise oferece suporte ao Kerberos. Kerberos é um protocolo de autenticação de rede. O MongoDB Agent pode autenticar em instâncias MongoDB que executam Kerberos.

Os tickets Kerberos podem autenticar usuários por um tempo limitado. Você deve configurar o Centro de Distribuição de Chaves (KDC) Kerberos para emitir tíquetes válidos por quatro horas ou mais. O MongoDB Agent atualiza periodicamente o ticket. O serviço KDC fornece tickets de sessão e chaves de sessão temporárias para usuários e hosts.

O MongoDB Agent interage com os reconhecimento de data center MongoDB em seu sistema da mesma forma que um usuário do MongoDB faria. Como resultado, você deve configurar sua implantação do MongoDB e o MongoDB Agent para suportar a autenticação.

Você pode especificar os mecanismos de autenticação do sistema ao adicionar o sistema ou pode editar as configurações de uma sistema existente. No mínimo, a implantação deve habilitar o mecanismo de autenticação que você deseja que o MongoDB Agent use. O MongoDB Agent pode usar qualquer mecanismo de autenticação compatível .

Para os fins deste tutorial, verifique se sua implantação atende a estas condições:

  • Sua implantação suporta autenticação Kerberos e

  • O MongoDB Agent usa a autenticação Kerberos.

Para saber como habilitar a autenticação Kerberos, consulte Habilitar autenticação Kerberos para seu projeto do Ops Manager.

Os seguintes arquivos de configuração Kerberos são necessários em qualquer host que execute o Monitoramento ou o Backup:

  • Criar ou configurar o krb5.conf Arquivo de configuração Kerberos.

    Plataforma
    Caminho padrão
    Notas

    Linux

    /etc/krb5.conf

    Windows

    %WINDIR%\krb5.ini

    Este é o caminho padrão para implementações do Kerberos não baseados no Active Directory. Consulte a documentação da implementação do Kerberos para a sua versão do Windows para descobrir onde o arquivo de configuração do Kerberos está armazenado.

  • Em sistemas Linux, certifique-se de que o binário kinit esteja localizado em /usr/bin/kinit. kinit obtém ou atualiza um ticket de concessão de ticket Kerberos, que autentica o Agente usando Kerberos.

1

Um UPN é formatado em duas partes para que o serviço possa ser identificado exclusivamente em todo o Realm Kerberos:

Componente
Descrição

Nome do serviço

O nome de um serviço que um host está fornecendo ao Realm Kerberos, como pop ou ftp.

Domínio Kerberos

Um conjunto de hosts e serviços managed que compartilham o mesmo reconhecimento de data center Kerberos.

De acordo com a convenção de nomenclatura Kerberos, o <KERBEROS_REALM> deve estar em todos os UPPERCASE.

Exemplo

Em um Realm Kerberos definido como EXAMPLE.COM, o MongoDB Agent definiria seu UPN para: mongodb-agent@EXAMPLE.COM

2

Gere um arquivo keytab *.keytab () para o UPN do MongoDB Agent e copie-o para o host que executa o MongoDB Agent. Certifique-se de que o usuário do sistema operacional que executa o MongoDB Agent seja o mesmo usuário do sistema operacional que possui o arquivo keytab.

Selecione seu tipo de implantação para visualizar as etapas apropriadas.

Nesta página