O MongoDB Enterprise oferece suporte ao Kerberos. Kerberos é um protocolo de autenticação de rede. O MongoDB Agent pode autenticar em instâncias MongoDB que executam Kerberos.
Pré-requisitos
Configure o KDC para emitir tickets com vida útil mínima de quatro horas
Os tickets Kerberos podem autenticar usuários por um tempo limitado. Você deve configurar o Centro de Distribuição de Chaves (KDC) Kerberos para emitir tíquetes válidos por quatro horas ou mais. O MongoDB Agent atualiza periodicamente o ticket. O serviço KDC fornece tickets de sessão e chaves de sessão temporárias para usuários e hosts.
Adicionar Kerberos como mecanismo de autenticação para sistema
O MongoDB Agent interage com os reconhecimento de data center MongoDB em seu sistema da mesma forma que um usuário do MongoDB faria. Como resultado, você deve configurar sua implantação do MongoDB e o MongoDB Agent para suportar a autenticação.
Você pode especificar os mecanismos de autenticação do sistema ao adicionar o sistema ou pode editar as configurações de uma sistema existente. No mínimo, a implantação deve habilitar o mecanismo de autenticação que você deseja que o MongoDB Agent use. O MongoDB Agent pode usar qualquer mecanismo de autenticação compatível .
Para os fins deste tutorial, verifique se sua implantação atende a estas condições:
Sua implantação suporta autenticação Kerberos e
O MongoDB Agent usa a autenticação Kerberos.
Para saber como habilitar a autenticação Kerberos, consulte Habilitar autenticação Kerberos para seu projeto do Ops Manager.
Configurar o host do MongoDB Agent para usar Kerberos
Os seguintes arquivos de configuração Kerberos são necessários em qualquer host que execute o Monitoramento ou o Backup:
Criar ou configurar o krb5.conf Arquivo de configuração Kerberos.
PlataformaCaminho padrãoNotasLinux
/etc/krb5.confWindows
%WINDIR%\krb5.iniEste é o caminho padrão para implementações do Kerberos não baseados no Active Directory. Consulte a documentação da implementação do Kerberos para a sua versão do Windows para descobrir onde o arquivo de configuração do Kerberos está armazenado.
Em sistemas Linux, certifique-se de que o binário kinit esteja localizado em
/usr/bin/kinit.kinitobtém ou atualiza um ticket de concessão de ticket Kerberos, que autentica o Agente usando Kerberos.
Procedimentos
Criar principal de usuário Kerberos para o MongoDB agente
Crie ou escolha um Nome principal do usuário (UPN) Kerberos para o MongoDB Agent.
Um UPN é formatado em duas partes para que o serviço possa ser identificado exclusivamente em todo o Realm Kerberos:
Componente | Descrição |
|---|---|
Nome do serviço | O nome de um serviço que um host está fornecendo ao Realm Kerberos, como |
Domínio Kerberos | Um conjunto de hosts e serviços managed que compartilham o mesmo reconhecimento de data center Kerberos. De acordo com a convenção de nomenclatura Kerberos, o |
Exemplo
Em um Realm Kerberos definido como EXAMPLE.COM, o MongoDB Agent definiria seu UPN para: mongodb-agent@EXAMPLE.COM
Gere um arquivo keytab para o UPN Kerberos do MongoDB Agent.
Gere um arquivo keytab *.keytab () para o UPN do MongoDB Agent e copie-o para o host que executa o MongoDB Agent. Certifique-se de que o usuário do sistema operacional que executa o MongoDB Agent seja o mesmo usuário do sistema operacional que possui o arquivo keytab.
Criar um usuário e atribuir roles para o UPN do MongoDB agente
Selecione seu tipo de implantação para visualizar as etapas apropriadas.