Página inicial do Docs → Desenvolver aplicações → Manual do MongoDB
Distribuir conjunto de réplicas com autenticação de arquivo de chave
Nesta página
Visão geral
Impor o controle de acesso em um conjunto de réplicas requer a configuração:
Segurança entre membros do conjunto de réplicas usando Autenticação interna, e
A segurança entre a conexão de clientes e o conjunto de réplicas usando o Controle de Acesso Baseado em Função.
Para este tutorial, cada membro do conjunto de réplicas usa o mesmo mecanismo de autenticação interna e configurações.
Forçar a autenticação interna também força o controle de acesso do usuário. Para se conectar ao conjunto de réplicas, clientes como mongosh precisam usar uma conta de usuário. Consulte Usuários e mecanismos de autenticação.
Cloud Manager e Ops Manager
Se você está usando ou está planejando usar o Cloud Manager ou o Ops Manager, consulte o manual do Cloud Manager ou o manual do Ops Manager para aplicar o controle de acesso.
Considerações
Importante
Para evitar atualizações de configuração devido a alterações de endereço IP, use nomes de host DNS em vez de endereços IP. É particularmente importante usar um nome de host DNS em vez de um endereço IP ao configurar membros de conjunto de réplicas ou membros de cluster fragmentado.
Use nomes de host em vez de endereços IP para configurar clusters em um horizonte de rede dividido. A partir do MongoDB 5.0, os nós que são configurados apenas com um endereço IP falham na validação de inicialização e não iniciam.
Vinculação IP
mongod e mongos se vinculam ao localhost por padrão. Se os membros do sistema forem executados em hosts diferentes, ou se você desejar que os clientes remotos se conectem ao sistema, especifique --bind_ip ou net.bindIp.
Sistema operacional
Este tutorial se refere principalmente ao processo do mongod. Os usuários do Windows devem utilizar o programa mongod.exe no lugar.
Segurança de arquivos-chave
Os arquivos-chave são formas mínimas de segurança e são mais adequados para ambientes de teste ou desenvolvimento. Para ambientes de produção, recomendamos usar certificados x.509.
Mecanismos de usuários e autenticação
Este tutorial aborda a criação do número mínimo de usuários administrativos somente no banco de dados admin. Para a autenticação do usuário, o tutorial usa o mecanismo de autenticação SCRAM padrão. Os mecanismos de segurança de resposta a desafios são mais adequados para ambientes de teste ou desenvolvimento. Para ambientes de produção, recomendamos o uso de certificados x.509 ou Autenticação de Proxy LDAP (disponível apenas para MongoDB Enterprise) ou Autenticação Kerberos (disponível apenas para o MongoDB Enterprise).
Para obter detalhes sobre a criação de usuários para mecanismos de autenticação específicos, consulte as páginas específicas do mecanismo de autenticação.
Consulte ➤ Configurar o controle de acesso baseado em roles para obter as melhores práticas para criação e gerenciamento de usuários.
Implemente um Novo Conjunto de Réplicas com Controle de Acesso a Arquivos-chave
Importante
Para evitar atualizações de configuração devido a alterações de endereço IP, use nomes de host DNS em vez de endereços IP. É particularmente importante usar um nome de host DNS em vez de um endereço IP ao configurar membros de conjunto de réplicas ou membros de cluster fragmentado.
Use nomes de host em vez de endereços IP para configurar clusters em um horizonte de rede dividido. A partir do MongoDB 5.0, os nós que são configurados apenas com um endereço IP falham na validação de inicialização e não iniciam.
Crie um arquivo-chave.
Com a autenticação do arquivo-chave, cada instância do mongod no conjunto de réplicas utiliza o conteúdo do arquivo-chave como a senha compartilhada para autenticar outros membros no sistema. Somente instâncias mongod com o arquivo-chave correto podem entrar no conjunto de réplicas.
Observação
A partir do MongoDB 4.2, os arquivos de chave para autenticação de membros interna usam o formato YAML para permitir várias chaves em um arquivo de chave. O formato YAML aceita:
Uma única string de chave (igual às versões anteriores)
Uma sequência de strings de chave
O formato YAML é compatível com os arquivos-chave de chave única existentes que usam o formato de arquivo de texto.
O comprimento de uma chave deve ter entre 6 e 1024 caracteres e só pode conter caracteres no conjunto base64. Todos os membros do conjunto de réplicas devem compartilhar pelo menos uma chave comum.
Observação
Em sistemas UNIX, o arquivo-chave não deve ter permissões de grupo ou mundiais. Em sistemas Windows, as permissões do arquivo-chave não são verificadas.
Você pode gerar um arquivo-chave usando qualquer método de sua escolha. Por exemplo, a operação a seguir usa openssl para gerar uma cadeia complexa pseudo-aleatória de 1024 caracteres para ser usada como senha compartilhada. Em seguida, ele usa chmod para alterar as permissões do arquivo e fornecer permissões de leitura somente para o proprietário do arquivo:
openssl rand -base64 756 > <path-to-keyfile> chmod 400 <path-to-keyfile>
Consulte Keyfiles para obter detalhes adicionais e requisitos para usar keyfiles.
Copie o arquivo-chave para cada membro do conjunto de réplicas.
Copie o arquivo-chave para cada servidor que hospeda os membros do conjunto de réplicas. Certifique-se de que o usuário que executa as instâncias mongod seja o proprietário do arquivo e possa acessar o arquivo-chave.
Evite armazenar o arquivo-chave em meios de armazenamento que podem ser facilmente desconectados do hardware hospedando as instâncias do , como uma unidade USB ou um dispositivo de armazenamento conectado à mongod rede.
Inicie cada nó do conjunto de réplicas com o controle de acesso habilitado.
Para cada membro no conjunto de réplicas, inicie o mongod com o arquivo de configuração security.keyFile ou a opção de linha de comando --keyFile. A execução mongod com a opção de linha de comando --keyFile ou a configuração do arquivo de configuração security.keyFile impõe a Autenticação Interna/Associação e o Controle de Acesso Baseado em Função.
Arquivo de configuração
Se estiver usando um arquivo de configuração, defina
security.keyFilepara o caminho do arquivo-chave ereplication.replSetNameao nome do conjunto de réplicas.
Inclua opções adicionais, conforme necessário, para sua configuração. Por exemplo, se você deseja que clientes remotos se conectem à sua implementação ou se os membros da implementação forem executados em hosts diferentes, especifique a configuração net.bindIp .
security: keyFile: <path-to-keyfile> replication: replSetName: <replicaSetName> net: bindIp: localhost,<hostname(s)|ip address(es)>
Inicie o mongod utilizando o arquivo de configuração:
mongod --config <path-to-config-file>
Para obter mais informações sobre o arquivo de configuração, consulte opções de configuração.
Linha de comando
Se utilizar as opções da linha de comando, inicie o mongod com as seguintes opções:
--keyFiledefinido como o caminho do arquivo-chave e--replSetdefinido para o nome do conjunto de réplicas.
Inclua opções adicionais, conforme necessário, para sua configuração. Por exemplo, se você deseja que clientes remotos se conectem à sua implementação ou se os membros da implementação forem executados em hosts diferentes, especifique o --bind_ip.
mongod --keyFile <path-to-keyfile> --replSet <replicaSetName> --bind_ip localhost,<hostname(s)|ip address(es)>
Importante
Para evitar atualizações de configuração devido a alterações de endereço IP, use nomes de host DNS em vez de endereços IP. É particularmente importante usar um nome de host DNS em vez de um endereço IP ao configurar membros de conjunto de réplicas ou membros de cluster fragmentado.
Use nomes de host em vez de endereços IP para configurar clusters em um horizonte de rede dividido. A partir do MongoDB 5.0, os nós que são configurados apenas com um endereço IP falham na validação de inicialização e não iniciam.
Para obter mais informações sobre as opções de linha de comando, consulte a página de referência mongod.
Conecte-se a um nó do conjunto de réplicas pela interface localhost.
Conecte mongosh a uma das instâncias mongod pela interface localhost. Você deve executar mongosh na mesma máquina física que a instância mongod .
A interface localhost só está disponível porque nenhum usuário foi criado para o sistema. A interface localhost fecha após a criação do primeiro usuário.
Inicie o conjunto de réplicas.
A partir mongosh, execute o método rs.initiate() .
rs.initiate() pode pegar um documento opcional de configuração do conjunto de réplicas. No documento de configuração do conjunto de réplicas, inclua:
O campo
_iddefinido com o nome do conjunto de réplicas especificado na opçãoreplication.replSetNameou--replSet.A array
memberscom um documento por cada membro do conjunto de réplicas.
O exemplo a seguir inicia um conjunto de réplicas de três nós.
Importante
Execute rs.initiate() em apenas uma e apenas uma instânciamongod para o conjunto de réplicas.
Importante
Para evitar atualizações de configuração devido a alterações de endereço IP, use nomes de host DNS em vez de endereços IP. É particularmente importante usar um nome de host DNS em vez de um endereço IP ao configurar membros de conjunto de réplicas ou membros de cluster fragmentado.
Use nomes de host em vez de endereços IP para configurar clusters em um horizonte de rede dividido. A partir do MongoDB 5.0, os nós que são configurados apenas com um endereço IP falham na validação de inicialização e não iniciam.
rs.initiate( { _id : "myReplSet", members: [ { _id : 0, host : "mongo1.example.net:27017" }, { _id : 1, host : "mongo2.example.net:27017" }, { _id : 2, host : "mongo3.example.net:27017" } ] } )
rs.initiate() desencadeia uma eleição e elege um dos nós para ser o primary.
Conecte-se ao primary antes de continuar. Use rs.status() para localizar o nó primary.
Crie o administrador do usuário.
Importante
Depois de criar o primeiro usuário, a exceção de local não estará mais disponível.
O primeiro usuário deve ter privilégios para criar outros usuários, como um usuário com o userAdminAnyDatabase. Isso garante que você possa criar usuários adicionais após o fechamento da Exceção Localhost.
Se pelo menos um usuário não tiver privilégios para criar usuários, depois que a exceção localhost for fechada, talvez você não consiga criar ou modificar usuários com novos privilégios e, portanto, não consiga acessar as operações necessárias.
Adicione um usuário utilizando o método db.createUser(). O usuário deve ter pelo menos o role userAdminAnyDatabase no banco de dados do admin.
Você deve estar conectado ao primary para criar usuários.
O exemplo a seguir cria o usuário fred com o role userAdminAnyDatabase no banco de dados do admin.
Importante
As senhas devem ser aleatórias, longas e complexas para garantir a segurança do sistema e evitar ou atrasar o acesso malicioso.
Dica
A partir da versão 4.2 do shell mongo , você pode usar o método passwordPrompt() em conjunto com vários métodos/comandos de autenticação/gerenciamento de usuário para solicitar a senha em vez de especificar a senha diretamente na chamada de método/comando. No entanto, você ainda pode especificar a senha diretamente como faria com versões anteriores do shell mongo .
admin = db.getSiblingDB("admin") admin.createUser( { user: "fred", pwd: passwordPrompt(), // or cleartext password roles: [ { role: "userAdminAnyDatabase", db: "admin" } ] } )
Digite a senha quando solicitado. Consulte Roles do usuário de banco de dados para obter uma lista completa das roles integradas e relacionadas às operações de administração do banco de dados.
Autenticar como administrador do usuário.
Autenticar no banco de dados do admin.
Em mongosh, use db.auth() para autenticar. Por exemplo, o seguinte se autentica como administrador do usuário fred:
Dica
A partir da versão 4.2 do shell mongo , você pode usar o método passwordPrompt() em conjunto com vários métodos/comandos de autenticação/gerenciamento de usuário para solicitar a senha em vez de especificar a senha diretamente na chamada de método/comando. No entanto, você ainda pode especificar a senha diretamente como faria com versões anteriores do shell mongo .
db.getSiblingDB("admin").auth("fred", passwordPrompt()) // or cleartext password
Como alternativa, conecte uma nova instância do mongosh ao membro do conjunto de réplicas primária utilizando os parâmetros -u <username>, -p <password> e --authenticationDatabase .
mongosh -u "fred" -p --authenticationDatabase "admin"
Se você não especificar a senha para a opção de linha de comando -p , o mongosh solicitará a senha.
Crie o administrador do cluster.
A função clusterAdmin concede acesso às operações de replicação, como configurar o conjunto de réplicas.
Crie um usuário de administrador do cluster e atribua o role do clusterAdmin no banco de dados do admin :
Dica
A partir da versão 4.2 do shell mongo , você pode usar o método passwordPrompt() em conjunto com vários métodos/comandos de autenticação/gerenciamento de usuário para solicitar a senha em vez de especificar a senha diretamente na chamada de método/comando. No entanto, você ainda pode especificar a senha diretamente como faria com versões anteriores do shell mongo .
db.getSiblingDB("admin").createUser( { "user" : "ravi", "pwd" : passwordPrompt(), // or cleartext password roles: [ { "role" : "clusterAdmin", "db" : "admin" } ] } )
Digite a senha quando solicitado.
Veja as Roles de Administração de Cluster para obter uma lista completa de roles integrados relacionados às operações de conjunto de réplicas e operações de cluster fragmentado.
Criar usuários adicionais (opcional).
Crie usuários para permitir que os clientes se conectem e interajam com o conjunto de réplicas. Consulte Funções de utilizador de banco de dados para obter informações sobre as funções internas básicas a serem usadas na criação de usuários somente leitura e de leitura e gravação.
Você também pode querer usuários administrativos adicionais. Para mais informações sobre usuários, consulte Usuários.
x.509 Autenticação interna
Para obter detalhes sobre como usar x.509 para autenticação interna, consulte Usar certificado x.509 para autenticação de assinatura.
Para fazer upgrade da autenticação interna de keyfiles para a autenticação interna x.509, consulte Atualizar da autenticação de keyfile para autenticação x.509.