设置自我管理的 X.509 身份验证
自管理的 X. 509证书为数据库用户提供对项目中集群的访问权限。 数据库用户与 Atlas 用户是分开的。 数据库用户可以访问 MongoDB 数据库,而 Atlas 用户可以访问 Atlas 应用程序本身。
Considerations
如果您启用 LDAP 授权,则使用 Atlas 托管的 X. 509证书进行身份验证的用户将无法连接到集群。
启用 LDAP授权后,您可以通过使用自托管 X. 509证书进行身份验证的用户来连接集群。 但是,用户的 X. 509证书中的公用名必须与有权使用 LDAP 访问数据库的用户的标识名匹配。
在同一个数据库中,您可以同时拥有使用自管理证书进行身份验证的用户和使用 Atlas 管理的 X.509 证书进行身份验证的用户。
必需的访问权限
要管理数据库用户,您必须对 Atlas 拥有 Organization Owner
(组织所有者)或 Project Owner
(项目所有者)访问权限。
先决条件
要使用自管理的 X.509 证书,您必须拥有公钥基础架构才能与 MongoDB Atlas 集成。
配置项目以使用公钥基础设施
在 AtlasAdvanced 中,转到项目的 页面。
如果尚未显示,请从导航栏上的 Organizations 菜单中选择包含项目的组织。
如果尚未显示,请从导航栏的 Projects 菜单中选择您的项目。
在侧边栏中,单击Security标题下的Advanced 。
显示 “高级”页面。
提供 PEM 编码的证书颁发机构。
对于使用 Atlas CLI 指定的项目,如要保存某一项客户管理的 X.509 配置,请运行以下命令:
atlas security customerCerts create [options]
要了解有关命令语法和参数的更多信息,请参阅atlas security customerCerts create 的 Atlas CLI 文档。
您可以通过以下任一方式使用 Atlas 用户界面提供证书颁发机构 (CA):
单击Upload ,从文件系统中选择一个
.pem
文件,然后单击Save 。将
.pem
文件的内容复制到提供的文本区域,然后单击Save 。
您可以在同一.pem
文件或文本区域中连接多个 CA。 用户可以使用任何提供的 CA 生成的证书进行身份验证。
上传 CA 时,系统会自动创建项目级警报,以便在 CA 过期前 30 天发送通知,每 24 小时重复一次。 您可以从 Atlas 的Alert Settings页面查看和编辑此警报。 有关配置警报的更多信息,请参阅配置警报设置。
查看或修改自管理的 X.509 身份验证设置
对于使用 Atlas CLI 指定的项目,要返回某一项客户托管 X.509 配置的详细信息,请运行以下命令:
atlas security customerCerts describe [options]
对于使用 Atlas CLI 指定的项目,如要禁用某一项客户管理的 X.509 配置,请运行以下命令:
atlas security customerCerts disable [options]
要了解有关上述命令的语法和参数的更多信息,请参阅Atlas CLI Atlassecurity customerCerts describe 和Atlas security customerCerts disable 的 文档。
要使用 Atlas 用户界面查看或编辑 CA,请单击Self-Managed X.509 Authentication Settings图标。
使用自管理 X.509 身份验证添加数据库用户
在 AtlasDatabase Access 中,转到项目的 页面。
如果尚未显示,请从导航栏上的 Organizations 菜单中选择包含项目的组织。
如果尚未显示,请从导航栏的 Projects 菜单中选择您的项目。
在侧边栏中,单击Security标题下的Database Access 。
显示数据库访问页面。
输入用户信息。
字段 | 说明 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Distinguished Name | 用户的公用名 (CN) 和可选的附加标识名字段 ( RFC4514 )(来自下表):
有关标识名字段的更多信息,请参阅 RFC4514 。 例如:
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
User Privileges | 可以通过以下方式之一分配角色:
有关 Atlas 内置权限的信息,请参阅内置角色。 |