为 X.509 身份验证配置 MongoDB Agent
Ops Manager 允许您配置所有客户端(包括 Ops Manager 代理)用于连接到 MongoDB 部署的身份验证机制。 您可以为每个项目启用多种身份验证机制,但必须为代理仅选择一种机制。
MongoDB 支持 X.509 证书 身份验证,用于安全 TLS 连接。 X.509 客户端身份验证允许客户端使用证书而不是用户名和密码向服务器进行身份验证。
注意
通过自动化,Ops Manager 托管 MongoDB Agent 身份验证。要了解有关身份验证的更多信息,请参阅为 Ops Manager 项目启用 x.509 身份验证。
考虑因素
传输层安全 性的完整描述 , 公钥基础设施 , X。509 证书和 证书颁发机构 超出了本教程的范围。本教程假定您事先了解 TLS 并可以访问有效的 X.509 证书。
先决条件
要为 Ops Manager 启用 X. 509身份验证,您必须获取由单个证书颁发机构 (CA) 生成和签名的有效TLS证书。要了解有关证书要求的更多信息,请参阅客户端 x。 MongoDB 手册中的509证书。
X.509 客户端证书身份验证要求您为部署启用和配置TLS 。
步骤
本教程假定您已将 MongoDB 部署配置为使用 X. 509证书身份验证和TLS 。如果还没有这样做,请参阅“ 使用 X. 509证书对客户端进行身份验证”和“为 TLS 配置 mongod 和 mongos”教程。
从 X.509 创建 MongoDB 用户 subject
编辑 MongoDB 助手配置文件
要使用 X.509 身份验证,必须为TLS配置 MongoDB Agent:
在 MongoDB Agent 配置文件中指定受信任 CA 证书的绝对文件路径。
如果您为 Ops Manager 部署启用了TLS ,则必须将 MongoDB Agent 配置为使用 TLS 。要将 MongoDB Agent 配置为使用TLS ,您必须拥有签署 MongoDB 实例的受信任证书颁发机构证书。
在MongoDB 助手的安装目录中,编辑配置文件,将httpsCAFile字段设置为包含一个或多个PEM格式证书的文件的路径。
例子
使用以下命令通过mongosh进行连接:
mongosh --tls --tlsCAFile /etc/ssl/ca.pem example.net:27017
然后,修改配置文件并设置以下键/值对:
httpsCAFile=/etc/ssl/ca.pem
保存配置文件。
要了解有关这些设置的更多信息,请参阅Ops Manager TLS设置。
配置 MongoDB Agent 以使用 TLS提供了有关配置 MongoDB Agent 以使用TLS的更多详细信息。
配置 MongoDB Agent后,在 Ops Manager 界面中配置 X.509 身份验证机制,如为 Ops Manager 项目启用 x.509 身份验证中所述。