O MongoDB Enterprise oferece suporte ao Kerberos. Kerberos Ć© um protocolo de autenticaĆ§Ć£o de rede. O MongoDB Agent pode autenticar em instĆ¢ncias MongoDB que executam Kerberos.
PrƩ-requisitos
Configure o KDC para emitir tickets com vida Ćŗtil mĆnima de quatro horas
Os tickets Kerberos podem autenticar usuĆ”rios por um tempo limitado. VocĆŖ deve configurar o Centro de DistribuiĆ§Ć£o de Chaves (KDC) Kerberos para emitir tĆquetes vĆ”lidos por quatro horas ou mais. O MongoDB Agent atualiza periodicamente o ticket. O serviƧo KDC fornece tickets de sessĆ£o e chaves de sessĆ£o temporĆ”rias para usuĆ”rios e hosts.
Adicionar Kerberos como mecanismo de autenticaĆ§Ć£o para sistema
O MongoDB Agent interage com os reconhecimento de data center MongoDB em seu sistema da mesma forma que um usuĆ”rio do MongoDB faria. Como resultado, vocĆŖ deve configurar sua implantaĆ§Ć£o do MongoDB e o MongoDB Agent para suportar a autenticaĆ§Ć£o.
VocĆŖ pode especificar os mecanismos de autenticaĆ§Ć£o do sistema ao adicionar o sistema ou pode editar as configuraƧƵes de uma sistema existente. No mĆnimo, a implantaĆ§Ć£o deve habilitar o mecanismo de autenticaĆ§Ć£o que vocĆŖ deseja que o MongoDB Agent use. O MongoDB Agent pode usar qualquer mecanismo de autenticaĆ§Ć£o compatĆvel .
Para os fins deste tutorial, vocĆŖ deve garantir o seguinte:
Sua implantaĆ§Ć£o suporta autenticaĆ§Ć£o Kerberos e
O MongoDB Agent usa a autenticaĆ§Ć£o Kerberos.
Para saber como habilitar a autenticaĆ§Ć£o Kerberos, consulte Habilitar autenticaĆ§Ć£o Kerberos para seu projeto do Ops Manager.
Configurar o host do MongoDB Agent para usar Kerberos
Dois arquivos relacionados ao Kerberos devem ser instalados em qualquer host que execute o Monitoramento ou Backup:
Criar ou configurar o krb5.conf Arquivo de configuraĆ§Ć£o Kerberos.
PlataformaCaminho padrĆ£oNotasLinux
/etc/krb5.confWindows
%WINDIR%\krb5.iniEste Ć© o caminho padrĆ£o para implementaƧƵes do Kerberos nĆ£o baseadas no Active Directory. Consulte a documentaĆ§Ć£o da implementaĆ§Ć£o do Kerberos para sua versĆ£o do Windows para saber onde o arquivo de configuraĆ§Ć£o do Kerberos estĆ” armazenado.
Em sistemas Linux: certifique-se de que o binƔrio kinit esteja localizado em
/usr/bin/kinit.kinitobtĆ©m ou atualiza um ticket de concessĆ£o de ticket Kerberos, que autentica o Agente usando Kerberos.
Procedimentos
Criar principal de usuƔrio Kerberos para o MongoDB agente
Crie ou escolha um Nome principal do usuƔrio (UPN ) Kerberos para o MongoDB Agent.
Um UPN Ʃ formatado em duas partes para que o serviƧo possa ser identificado exclusivamente em todo o Realm Kerberos:
Componente | DescriĆ§Ć£o |
|---|---|
Nome do serviƧo | O nome de um serviƧo que um host estƔ fornecendo ao Realm Kerberos, como |
DomĆnio Kerberos | Um conjunto de hosts e serviƧos managed que compartilham o mesmo reconhecimento de data center Kerberos. De acordo com a convenĆ§Ć£o de nomenclatura Kerberos, o |
Exemplo
Em um Realm Kerberos definido como EXAMPLE.COM, o MongoDB Agent definiria seu UPN para: mongodb-agent@EXAMPLE.COM
Gere um keytab arquivo para o UPN Kerberos do MongoDB Agent.
Gere um arquivo keytab *.keytab () para o UPN do MongoDB Agent e copie-o para o host que executa o MongoDB Agent. Certifique-se de que o usuƔrio do sistema operacional que executa o MongoDB Agent seja o mesmo usuƔrio do sistema operacional que possui o arquivo keytab.
Criar um usuƔrio e atribuir roles para o UPN do MongoDB agente
Quando a automaĆ§Ć£o Ć© ativada, o Ops Manager managed a autenticaĆ§Ć£o do MongoDB Agent.
Para configurar o Kerberos para a autenticaĆ§Ć£o do MongoDB Agent, consulte Habilitar autenticaĆ§Ć£o Kerberos para seu projeto do Ops Manager.
Depois de criar o UPN Kerberos para o MongoDB Agent, crie um usuƔrio MongoDB em seu sistema que corresponda ao UPN do MongoDB Agent e conceda privilƩgios a ele.
O local onde vocĆŖ cria o usuĆ”rio MongoDB depende se vocĆŖ estĆ” usando ou nĆ£o a autorizaĆ§Ć£o LDAP .
ObservaĆ§Ć£o
ComeƧar com MongoDB 8.0, A autenticaĆ§Ć£o e autorizaĆ§Ć£o LDAP estĆ£o obsoletas. O recurso estĆ” disponĆvel e continuarĆ” a operar sem alteraƧƵes durante toda a vida Ćŗtil do MongoDB 8. O LDAP serĆ” removido em uma versĆ£o principal futura.
Para obter detalhes, consulte DescontinuaĆ§Ć£o do LDAP.
Se vocĆŖ estiver usando a autorizaĆ§Ć£o LDAP em sua implementaĆ§Ć£o do MongoDB , deverĆ” criar um usuĆ”rio LDAP e um grupo LDAP para o MongoDB Agent no servidor LDAP . ApĆ³s criar o usuĆ”rio e o grupo LDAP , mapeie o grupo LDAP para uma funĆ§Ć£o do MongoDB no banco de banco de dados admin do seu sistema.
Aviso
Ao utilizar a AutorizaĆ§Ć£o LDAP , nĆ£o crie quaisquer utilizadores MongoDB no banco de banco de dados do $external . O MongoDB 3.4 e posterior nĆ£o iniciarĆ” se houver um usuĆ”rio MongoDB no banco de banco de dados $external e a autorizaĆ§Ć£o LDAP estiver habilitada.
Para o usuƔrio MongoDB que representa o MongoDB Agent:
Crie um novo usuƔrio LDAP no seu servidor LDAP nomeado com o UPN do MongoDB Agent.
Crie um grupo LDAP cujo nome corresponda Ć funĆ§Ć£o do MongoDB Agent.
Crie a funĆ§Ć£o do MongoDB Agent em seu banco de banco de dados
admincom as permissƵes apropriadas.ObservaĆ§Ć£o
Quando a automaĆ§Ć£o Ć© ativada, a automaĆ§Ć£o cria automaticamente uma funĆ§Ć£o para o usuĆ”rio do MongoDB Agent para autenticaĆ§Ć£o LDAP .
Atribua o usuƔrio LDAP ao grupo LDAP .
Dica
Para saber como: | Veja |
|---|---|
Criar um usuĆ”rio LDAP | DocumentaĆ§Ć£o para sua implementaĆ§Ć£o de LDAP . |
Criar um grupo LDAP | DocumentaĆ§Ć£o para sua implementaĆ§Ć£o de LDAP . |
Atribua as funƧƵes apropriadas para o MongoDB Agent | |
Mapear um grupo LDAP e um role do MongoDB | SeĆ§Ć£o FunƧƵes LDAP da pĆ”gina de autorizaĆ§Ć£o LDAP no manual do MongoDB . |
Configurar autorizaĆ§Ć£o LDAP sem a automaĆ§Ć£o MongoDB Ops Manager | PĆ”gina AutorizaĆ§Ć£o LDAP no manual MongoDB . |
Se vocĆŖ nĆ£o estiver usando a autorizaĆ§Ć£o LDAP , serĆ” necessĆ”rio adicionar o UPN do MongoDB Agent como usuĆ”rio no banco de banco de dados $external em seu sistema do MongoDB . Sem autorizaĆ§Ć£o LDAP , o MongoDB usa o banco de banco de dados $external para autenticar um usuĆ”rio no Kerberos.
ObservaĆ§Ć£o
Para descobrir as funƧƵes apropriadas para o MongoDB Agent, consulte Acesso necessƔrio para o MongoDB Agent.
A partir do mongosh, emita os seguintes comandos para criar o usuƔrio MongoDB :
db.getSiblingDB("$external").createUser( { user : "<Kerberos Principal>", roles : [ { role : "clusterAdmin", db : "admin" }, { role : "readWriteAnyDatabase", db : "admin" }, { role : "userAdminAnyDatabase", db : "admin" }, { role : "dbAdminAnyDatabase", db : "admin" }, { role : "backup", db : "admin" }, { role : "restore", db : "admin" } ] } )