Docs 菜单

Docs 主页开发应用程序MongoDB Manual

将副本集更新为密钥文件身份验证

在此页面上

  • 概述
  • 考虑因素
  • 对现有副本集执行密钥文件访问控制
  • x.509 内部身份验证

概述

对现有副本集执行访问控制需要配置:

  • 使用内部身份验证配置副本集节点之间的安全性,以及

  • 使用用户访问控制来确保连接客户端与副本集之间的安全性。

在本教程中,副本集的每个成员均使用相同的内部身份验证机制和设置。

实施内部身份验证还可实施用户访问控制。要连接到副本集, mongosh等客户端需要使用用户帐户。请参阅用户。

Cloud Manager 或 Ops Manager

如果 Cloud Manager 或 Ops Manager 正在管理您的部署,请参阅Cloud Manager 手册Ops Manager 手册以了解如何实施访问控制。

考虑因素

重要

要避免因 IP 地址变更而更新配置,请使用 DNS 主机名而非 IP 地址。在配置副本集成员或分片集群成员时,使用 DNS 主机名而非 IP 地址尤为重要。

使用主机名而不是 IP 地址在分割网络范围内配置集群。从 MongoDB 5开始。 0 ,仅配置了 IP 地址的节点未通过启动验证,因此不会启动。

IP 绑定

默认情况下,MongoDB 二进制文件 mongodmongos 绑定到 localhost

操作系统

本教程使用 mongod 程序。Windows 用户应使用 mongod.exe 程序。

密钥文件安全

密钥文件是最低限度的安全手段,也最适合测试或开发环境。对于生产环境,建议使用 x.509 证书

用户(User)

本教程介绍在 admin 数据库上创建最少数量的管理用户。在用户身份验证方面,本教程使用默认的 SCRAM 身份验证机制。质询响应安全机制最适合测试或开发环境。对于生产环境,建议使用 x.509 证书LDAP 代理身份验证(仅用于 MongoDB Enterprise)或 Kerberos 身份验证(仅用于 MongoDB Enterprise)。

如需详细了解为特定认证机制创建用户,请参阅特定认证机制页面。

请参阅➤ 配置基于角色的访问控制,了解用户创建和管理的最佳实践。

宕机时间

以下执行访问控制的过程需要停机。关于不需要停机的过程,请参阅将副本集更新为密钥文件身份验证(无停机)

对现有副本集执行密钥文件访问控制

1

创建密钥文件。

通过密钥文件身份验证,副本集中的每个 mongod 实例都使用密钥文件的内容作为共享密码,对部署中的其他节点进行身份验证。只有具有正确密钥文件的 mongod 实例才能加入副本集。

注意

从 MongoDB 4.2 开始,用于内部成员身份验证的密钥文件使用 YAML 格式,允许密钥文件中有多个密钥。YAML 格式接受:

  • 单个密钥字符串(与早期版本相同)

  • 键字符串序列

YAML 格式与使用文本文件格式的现有单密钥文件兼容。

密钥的长度必须介于 6 到 1,024 个字符之间,且只能包含 base64 集合中的字符。复制集的所有成员均须至少共享一个公钥。

注意

在 UNIX 系统上,密钥文件不得具有群组或全局权限。在 Windows 系统中,不检查密钥文件权限。

您可以选择任何方法生成密钥文件。例如,以下操作使用 openssl 生成复杂的伪随机 1024 字符串以用作共享密码。然后,它使用 chmod 更改文件权限,仅为文件所有者提供读取权限:

openssl rand -base64 756 > <path-to-keyfile>
chmod 400 <path-to-keyfile>

有关使用密钥文件的更多详细信息和要求,请参阅密钥文件。

2

将密钥文件复制到每个副本集节点。

将密钥文件复制到托管副本集成员的每台服务器。确保运行 mongod 实例的用户是此文件的所有者且可访问密钥文件。

避免将密钥文件存储在可以轻松与托管 mongod 实例的硬件断开连接的存储介质上,例如 USB 驱动器或联网存储设备。

3

关闭副本集的所有节点。

从节点开始,关闭副本集组中的每个 mongod。继续操作,直到副本集的所有成员均为脱机状态,包括所有仲裁节点主节点必须是最后一个关闭的成员,以免出现潜在的回滚操作。

要关闭 ,请使用 连接每个mongod ,并对mongod mongoshdb.shutdownServer()admin数据库发出 :

use admin
db.shutdownServer()

在此步骤结束时,副本集的所有节点都应处于离线状态。

4

在执行访问控制的情况下重新启动副本集的每个成员。

使用 security.keyFile 配置文件设置或 --keyFile 命令行选项,在副本集中重新启动每个 mongod。使用 --keyFile 命令行选项或 security.keyFile 配置文件设置运行 mongod,会执行内部/成员身份验证基于角色的访问控制。

配置文件

如果使用的是配置文件,请设置

根据配置需要包括其他选项。例如,如果您希望远程客户端连接到您的部署,或者您的部署成员运行在不同的主机上,请指定net.bindIp设置。

security:
  keyFile: <path-to-keyfile>
replication:
  replSetName: <replicaSetName>
net:
   bindIp: localhost,<hostname(s)|ip address(es)>

使用配置文件启动 mongod

mongod --config <path-to-config-file>

有关配置文件的更多信息,请参阅配置选项。

命令行

如果使用命令行选项,请使用以下选项启动 mongod

  • --keyFile 设置为密钥文件的路径,以及

  • --replSet 设为副本集名称。

根据配置需要包括其他选项。例如,如果您希望远程客户端连接到您的部署,或者您的部署成员运行在不同的主机上,请指定--bind_ip

mongod --keyFile <path-to-keyfile> --replSet <replicaSetName> --bind_ip localhost,<hostname(s)|ip address(es)>

重要

要避免因 IP 地址变更而更新配置,请使用 DNS 主机名而非 IP 地址。在配置副本集成员或分片集群成员时,使用 DNS 主机名而非 IP 地址尤为重要。

使用主机名而不是 IP 地址在分割网络范围内配置集群。从 MongoDB 5开始。 0 ,仅配置了 IP 地址的节点未通过启动验证,因此不会启动。

有关命令行选项的更多信息,请参阅 mongod 参考页面。

5

使用本地主机接口连接到主节点。

通过 本地主机接口mongoshmongod 将 连接到 实例之一。您必须在与 实例相同的物理机器上运行mongosh mongod

使用rs.status() 标识 节点副本集成员。如果已连接到主节点,请继续下一步。如果没有,请通过mongosh 本地主机接口 将 连接到主节点。

重要

在继续操作之前,必须连接到主节点。

6

创建用户管理员。

重要

创建第一个用户后,本地主机异常就不再可用。

第一个用户必须拥有创建其他用户的特权,如具备 userAdminAnyDatabase 的用户。这样可以确保在本地主机异常关闭后,您可以创建更多用户。

如果至少一个用户没有创建用户的权限,一旦本地主机异常关闭,您可能无法使用创建或修改具有新特权的用户,因此无法访问必要的操作。

使用 db.createUser() 方法添加用户。该用户应在 admin 数据库中至少拥有 userAdminAnyDatabase 角色。

您必须连接到主节点才能创建用户。

以下示例在 admin 数据库上创建具有 userAdminAnyDatabase 角色的用户 fred

重要

密码应随机、长且复杂,以确保系统安全并防止或延迟恶意访问。

提示

mongo Shell 的 4.2 版开始,您可以将passwordPrompt()方法与各种用户身份验证/管理方法/命令结合使用,以提示输入密码,而不是直接在方法/命令调用中指定密码。 不过,您仍然可以像使用早期版本的mongo Shell 一样直接指定密码。

admin = db.getSiblingDB("admin")
admin.createUser(
  {
    user: "fred",
    pwd: passwordPrompt(), // or cleartext password
    roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]
  }
)

根据提示输入密码。有关内置角色和与数据库管理操作相关的角色的完整列表,请参阅数据库用户角色

7

以用户管理员身份进行身份验证。

admin 数据库进行身份验证。

mongosh中,使用db.auth()进行身份验证。例如,以下身份验证为用户管理员fred

提示

mongo Shell 的 4.2 版开始,您可以将passwordPrompt()方法与各种用户身份验证/管理方法/命令结合使用,以提示输入密码,而不是直接在方法/命令调用中指定密码。 不过,您仍然可以像使用早期版本的mongo Shell 一样直接指定密码。

db.getSiblingDB("admin").auth("fred", passwordPrompt()) // or cleartext password

或者,使用-u <username>-p <password>--authenticationDatabase参数将新的mongosh实例连接到主副本集成员。

mongosh -u "fred" -p  --authenticationDatabase "admin"

如果没有为-p命令行选项指定密码, mongosh会提示输入密码。

8

创建集群管理员(可选)。

集群管理员用户具有 clusterAdmin 角色,可授予对复制操作的访问权限。

admin 数据库中创建集群管理员用户并分配 clusterAdmin 角色:

提示

mongo Shell 的 4.2 版开始,您可以将passwordPrompt()方法与各种用户身份验证/管理方法/命令结合使用,以提示输入密码,而不是直接在方法/命令调用中指定密码。 不过,您仍然可以像使用早期版本的mongo Shell 一样直接指定密码。

db.getSiblingDB("admin").createUser(
  {
    "user" : "ravi",
    "pwd" : passwordPrompt(),     // or cleartext password
    roles: [ { "role" : "clusterAdmin", "db" : "admin" } ]
  }
)

根据提示输入密码。

请参阅集群管理角色,获取与副本集操作相关的内置角色的完整清单。

9

创建其他用户(可选)。

创建用户,允许客户端与副本集连接和交互。参阅数据库用户角色,了解创建只读和读写用户时使用的基本内置橘色。

您可能还需要其他管理用户。有关用户的更多信息,请参阅用户。

x.509 内部身份验证

有关使用 x.509 进行内部身份验证的详情,请参阅使用 x.509 证书进行成员身份验证

要将密钥文件内部身份验证升级到 x.509 内部身份验证,请参阅从密钥文件身份验证升级到 x.509 身份验证

← 使用密钥文件身份验证部署副本集
将副本集更新为密钥文件身份验证(无停机时间) →

在此页面上