Docs 菜单
Docs 主页
/
BI Connector

身份验证

在此页面上

  • MongoDB 身份认证
  • BI Connector 身份验证
  • 客户端身份验证

MongoDB Connector for BI 支持以下身份验证机制,用于对 MongoDB 进行身份验证以及对连接用户进行身份验证:

  • SCRAM-SHA-1

  • SCRAM-SHA-256

  • PLAIN (LDAP)

  • GSSAPI (Kerberos)

BI Connector ( mongosqld ) 使用管理员档案对 MongoDB 进行身份验证,并使用样本数据生成 BI Connector 的模式。当客户端连接到 BI Connector 时, mongosqld会将连接客户端档案传递给 MongoDB 进行身份验证,并根据连接用户的权限显示和限制数据。

以下部分将作为指南,帮助您配置 BI Connector 以在 MongoDB 部署中进行身份验证,配置连接到 BI Connector 的用户的身份验证,以及如何使用身份验证选项从 BI 工具格式化用户名。

如果在 MongoDB 部署上启用了身份验证,则必须将 BI Connector 配置为使用所需的身份验证机制并提供管理员用户档案。 管理员用户档案必须获得授权才能查看您希望使用 BI Connector 查询的数据超集。

注意

有关如何在 MongoDB 部署上配置 SCRAM的信息,请参阅SCRAM。

要启用挑战与响应(SCRAM-SHA-1)作为MongoDB的BI Connector身份验证机制,必须将以下设置添加到mongosqld配置文件中:

mongodb:
net:
auth:
username: <admin-username>
password: <admin-password>
source: <auth-db-name>
mechanism: "SCRAM-SHA-1"

有关 MongoDB 主机配置文件设置的更多信息,请参阅:

注意

有关如何在 MongoDB 部署上配置LDAP的信息,请参阅LDAP 代理身份验证。

要启用LDAP ( PLAIN ) 作为 MongoDB 的 BI Connector 身份验证机制,必须将以下设置添加到mongsqld配置文件中:

mongodb:
net:
auth:
username: <admin-username>
password: <admin-password>
mechanism: "PLAIN"

有关 MongoDB 主机配置文件设置的更多信息,请参阅:

要启用 Kerberos ( GSSAPI ) 作为 MongoDB 的 BI Connector 身份验证机制,必须将以下设置添加到mongsqld配置文件中:

mongodb:
net:
auth:
username: <admin-username>
password: <admin-password>
mechanism: "GSSAPI"

有关 MongoDB 主机配置文件设置的更多信息,请参阅:

有关 Kerberos 配置的更多信息,请参阅为 BI Connector 配置 Kerberos。

要启用挑战与响应 ( SCRAM-SHA-1 ) 作为 BI Connector 身份验证机制,必须将security.enabled : true添加到mongsqld配置文件中:

security:
enabled: true

SCRAM-SHA-1 是当用户名中未指定mechanism且已启用安全功能时的默认身份验证机制。如果要省略用户名中的source ,请在配置文件中添加并设置security.defaultSource : <authenticationDatabase>

security:
enabled: true
defaultSource: "admin"

有关 BI Connector 配置文件设置的更多信息,请参阅:

要启用LDAP ( PLAIN ) 作为 BI Connector 身份验证机制,必须将security.enabled : true添加到mongsqld配置文件中:

security:
enabled: true

如果您不想在用户名中添加mechanismsource ,请将这些选项/值对添加并设置到您的mongsqld配置文件中:

mongsqld 配置文件中生成的 安全 区块应如下所示:

security:
enabled: true
defaultMechanism: "PLAIN"
defaultSource: "$external"

有关 BI Connector 配置文件设置的更多信息,请参阅:

要启用 Kerberos ( GSSAPI ) 作为 BI Connector 身份验证机制,必须将security.enabled : true添加到mongsqld配置文件中:

security:
enabled: true

如果您不想在用户名中添加mechanismsource ,请将这些选项/值对添加并设置到您的mongsqld配置文件中:

mongsqld 配置文件中生成的 安全 区块应如下所示:

security:
enabled: true
defaultMechanism: "GSSAPI"
defaultSource: "$external"
gssapi:
hostname: "<yourHostname>"
serviceName: "mongosql"

有关 BI Connector 配置文件设置的更多信息,请参阅:

有关 Kerberos 配置的更多信息,请参阅为 BI Connector 配置 Kerberos。

如果您的BI 工具使用的是MongoDB BI Connector ODBC 驱动程序,则该驱动程序将处理身份验证,您无需安装身份验证插件。 如果您使用的不是 MongoDB BI Connector ODBC 驱动程序,但需要使用 BI 工具进行身份验证,请安装 C 或 JDBC 身份验证插件,具体取决于哪个插件与 BI 工具兼容:

C 身份验证插件
安装 C 身份验证插件的说明,该插件有助于 BI Connector 和 SQL 客户端(例如TableauMySQL Shell)之间的身份验证。
JDBC 身份验证插件
JDBC 身份验证插件安装说明。

有关将 BI 工具连接到 BI Connector 的更多信息,请参阅连接 BI 工具。

重要

除了使用身份验证插件之外,还建议使用 TLS/SSL:

  • SCRAM-SHA-1SCRAM-SHA-256机制对客户端插件中的密码进行哈希处理。 但是,所有其他数据均为明文形式。

  • PLAIN机制以明文形式发送密码。

使用--auth运行时,MongoDB Connector for BI 需要进行身份验证。 当 MongoDB Connector for BI 从客户端收到带有身份验证档案的连接时,它会将这些档案传递到底层 MongoDB 实例。

您可以在用户名后指定以下身份验证选项,作为 URI 形式的查询参数:

连接选项
说明
source

指定存储该用户凭证的数据库名称。如果不指定此选项,MongoDB Connector for BI 将默认使用当前与 MySQL 连接关联的数据库。

对于将凭证存储委托给其他服务的身份验证机制,例如 PLAIN (LDAP) 或 GSSAPI (Kerberos),请将 source 值设置为 $external

如果在 MongoDB Connector for BI 配置文件中设置了 defaultSource,则无需配置该选项。

mechanism

指定 MongoDB Connector for BI 应使用的机制来验证连接。可被接受的值包括:

LDAP 和 Kerberos 需要 MongoDB Enterprise 。使用 LDAP 或 Kerberos 时,将源设置为 $external

如果在 MongoDB Connector for BI 配置文件中设置了 defaultMechanism,则无需配置该选项。

不支持 X.509。

以下示例展示了如何设置用户名格式,以便 BI Connector 使用“质询和响应”(用户名和密码)、 LDAP或 Kerberos 进行身份验证:

例如,要使用admin数据库和挑战与响应 ( SCRAM-SHA-1 ) 身份验证机制以用户grace身份进行身份验证,请按以下格式写入用户名:

grace?source=admin

例如,要使用LDAP ( PLAIN ) 身份验证机制以用户grace的身份进行身份验证,请按以下格式写入用户名:

grace?mechanism=PLAIN&source=$external

例如,要在grace EXAMPLE.COMKerberos Realm 上以用户 的身份进行身份验证 使用 Kerberos 身份验证机制时,请按以下格式写入用户名:

grace@EXAMPLE.COM?mechanism=GSSAPI&source=$external

有关 Kerberos 配置的更多信息,请参阅为 BI Connector 配置 Kerberos。

后退

MySQL Shell Options

来年

C 身份验证插件