Docs 菜单
Docs 主页
/
MongoDB Atlas
/ /

设置自我管理的 X.509 身份验证

在此页面上

  • Considerations
  • 必需的访问权限
  • 先决条件
  • 配置项目以使用公钥基础设施
  • 查看或修改自管理的 X.509 身份验证设置
  • 使用自管理 X.509 身份验证添加数据库用户

自管理的 X. 509证书为数据库用户提供对项目中集群的访问权限。 数据库用户与 Atlas 用户是分开的。 数据库用户可以访问 MongoDB 数据库,而 Atlas 用户可以访问 Atlas 应用程序本身。

如果您启用 LDAP 授权,则使用 Atlas 托管的 X. 509证书进行身份验证的用户将无法连接到集群。

启用 LDAP授权后,您可以通过使用自托管 X. 509证书进行身份验证的用户来连接集群。 但是,用户的 X. 509证书中的公用名必须与有权使用 LDAP 访问数据库的用户的标识名匹配。

在同一个数据库中,您可以同时拥有使用自管理证书进行身份验证的用户和使用 Atlas 管理的 X.509 证书进行身份验证的用户。

要管理数据库用户,您必须对 Atlas 拥有 Organization Owner(组织所有者)或 Project Owner(项目所有者)访问权限。

要使用自管理的 X.509 证书,您必须拥有公钥基础架构才能与 MongoDB Atlas 集成。

1
  1. 如果尚未显示,请从导航栏上的 Organizations 菜单中选择包含项目的组织。

  2. 如果尚未显示,请从导航栏的 Projects 菜单中选择您的项目。

  3. 在侧边栏中,单击Security标题下的Advanced

    显示高级”页面。

2

Self-Managed X.509 Authentication 切换到 ON

3

对于使用 Atlas CLI 指定的项目,如要保存某一项客户管理的 X.509 配置,请运行以下命令:

atlas security customerCerts create [options]

要了解有关命令语法和参数的更多信息,请参阅atlas security customerCerts create 的 Atlas CLI 文档。

提示

请参阅:相关链接

您可以通过以下任一方式使用 Atlas 用户界面提供证书颁发机构 (CA):

  • 单击Upload ,从文件系统中选择一个.pem文件,然后单击Save

  • .pem文件的内容复制到提供的文本区域,然后单击Save

您可以在同一.pem文件或文本区域中连接多个 CA。 用户可以使用任何提供的 CA 生成的证书进行身份验证。

上传 CA 时,系统会自动创建项目级警报,以便在 CA 过期前 30 天发送通知,每 24 小时重复一次。 您可以从 Atlas 的Alert Settings页面查看和编辑此警报。 有关配置警报的更多信息,请参阅配置警报设置。

对于使用 Atlas CLI 指定的项目,要返回某一项客户托管 X.509 配置的详细信息,请运行以下命令:

atlas security customerCerts describe [options]

对于使用 Atlas CLI 指定的项目,如要禁用某一项客户管理的 X.509 配置,请运行以下命令:

atlas security customerCerts disable [options]

要了解有关上述命令的语法和参数的更多信息,请参阅Atlas CLI Atlassecurity customerCerts describeAtlas security customerCerts disable 的 文档。

提示

请参阅:相关链接

要使用 Atlas 用户界面查看或编辑 CA,请单击Self-Managed X.509 Authentication Settings图标。

1
  1. 如果尚未显示,请从导航栏上的 Organizations 菜单中选择包含项目的组织。

  2. 如果尚未显示,请从导航栏的 Projects 菜单中选择您的项目。

  3. 在侧边栏中,单击Security标题下的Database Access

    显示数据库访问页面。

2
  1. 如果尚未显示,请单击Database Users标签页。

  2. 单击 Add New Database User(添加新的数据库用户)。

3
4
字段
说明
Distinguished Name

用户的公用名 (CN) 和可选的附加标识名字段 ( RFC4514 )(来自下表):

名称
说明
类型
大小(以 MB 为单位)
businesscategory
businessCategory 属性,用于描述组织所从事业务的类型。
DirectoryString
SIZE(1..128)
c
双字母 ISO3166 国家/地区代码。
StringType
SIZE(2)
cn
对象的通用名称。如果对象对应于人员,通常是人员的全名。
StringType
SIZE(1..64)
countryofcitizenship
RFC 3039 CountryOfCitizenship 包含至少一个公民身份所在国家/地区的标识符的属性。接受 ISO3166 仅限代码。
PrintableString
SIZE(2)
countryofresidence
RFC 3039 CountryOfResidence 属性,其中至少包含一个国家/地区的值。接受 ISO3166 仅限代码。
PrintableString
SIZE(2)
dateofbirth
RFC 3039 DateOfBirth 属性,用于指定主体的出生日期。
采用如下格式的 GeneralizedTime:YYYYMMDD000000Z
dc
domainComponent 属性类型,包含一个 DNS 域名。
StringType
dn
dnQualifier 属性类型,包含要添加到条目的相对标识名的消歧信息。
DirectoryString
SIZE(1..64)
e
Verisign 证书中的电子邮件地址。
emailaddress
emailAddress (RSA PKCS#9 扩展名)属性,该属性将一个或多个电子邮件地址指定为非结构化 ASCII 字符串。
IA5String
gender
RFC 3039 Gender 属性,用于指定主题的性别值。接受MFmf
PrintableString
SIZE(1)
generation
generationQualifier 包含名称字符串的属性类型,这些名称字符串通常是人名的后缀部分。
DirectoryString
SIZE(1..64)
givenname
姓名字符串,即姓名中除姓氏以外的部分。
DirectoryString
SIZE(1..64)
initials
除姓氏以外,个人部分或全部姓名的首字母缩写。
DirectoryString
SIZE(1..64)
l
localityName 包含地区或地点(例如城市、县或其他地理区域)名称的属性。
StringType
SIZE(1..64)
name
(id-at-name) 属性超类型,使用名称语法从中继承用户属性类型。
DirectoryString
SIZE(1..64)
nameofbirth
ISIS-MTT NameAtBirth 属性,用于指定一个人出生时的姓名。
DirectoryString
SIZE(1..64)
o
组织名称。
StringType
SIZE(1..64)
ou
组织单位名称。
StringType
SIZE(1..64)
placeofbirth
RFC 3039 PlaceOfBirth 用于指定出生地的值。
DirectoryString
SIZE(1..128)
postaladdress
RFC 3039 PostalAddress,其中包括stateOrProvinceNamelocalityName属性类型(如果存在),用于存储地址和地理信息。
顺序
SIZE (1..6) OF DirectoryString(SIZE(1..30))
postalcode
postalCode 该属性用于指定邮政服务用来识别邮政服务区域的代码。
DirectoryString
SIZE(1..40)
pseudonym
RFC 3039 pseudonym 用于指定假名的属性,例如昵称以及拼写不同于注册名称定义的名称。
DirectoryString
SIZE(1..64)
serialnumber
设备序列号名称。
StringType
SIZE(1..64)
sn
设备序列号名称。
StringType
SIZE(1..64)
st
州或省名称。
StringType
SIZE(1..64)
street
街道名称。
StringType
SIZE(1..64)
surname
X520name 类型的命名属性。
DirectoryString
SIZE(1..64)
t
Title 属性,包含主体在组织中的指定职位或职能。
DirectoryString
SIZE(1..64)
telephonenumber
id-at-telephoneNumber,这是国际公认的国际电话号码格式。
PrintableString
SIZE (1..32)
uid
LDAP 用户 ID。
DirectoryString
uniqueidentifier
对象的唯一标识符。
DirectoryString
unstructuredaddress
PKCS#9 属性,用于将主题的一个或多个地址指定为非结构化目录string 。
DirectoryString
unstructuredname
PKCS#9 属性,用于将一个或多个主题名称指定为非结构化 ASCII 字符串。
DirectoryString
SIZE(1..64)

有关标识名字段的更多信息,请参阅 RFC4514

例如:

CN=Jane Doe,O=MongoDB,C=US
User Privileges

可以通过以下方式之一分配角色:

有关 Atlas 内置权限的信息,请参阅内置角色

有关授权的更多信息,请参阅 MongoDB 手册中的基于角色的访问控制内置角色

5

后退

工作负载(应用程序)