在Windows上使用Kerberos身份验证配置MongoDB

在mongod.exe没有Kerberos的情况下启动。¶

对于最初添加的Kerberos用户，请在mongod.exe 不支持Kerberos的情况下开始。

如果Kerberos用户已经在MongoDB中并且具有创建用户所需的 特权，则可以从mongod.exeKerberos支持入手 。

包括适合您的部署的其他设置。

连接到mongod。¶

通过mongo.exe外壳连接到mongod.exe 实例。如果mongod.exe已--auth启用，请确保您具有创建用户所需的特权。

将Kerberos主体添加到MongoDB。¶

在数据库中的MongoDB中添加Kerberos主体。在ALL UPPERCASE中指定Kerberos领域 。该数据库允许 查阅外部源（例如Kerberos）进行身份验证。要指定用户的特权，请为用户分配 角色。<username>@<KERBEROS REALM>$external$externalmongod.exe

下面的示例添加reportingapp@EXAMPLE.NET对records数据库具有只读访问权限 的Kerberos主体 ：

use $external
db.createUser(
   {
     user: "reportingapp@EXAMPLE.NET",
     roles: [ { role: "read", db: "records" } ]
   }
)

根据需要添加其他主体。对于要使用Kerberos进行身份验证的每个用户，必须在MongoDB中创建一个相应的用户。有关创建和管理用户的更多信息，请参阅《 用户管理命令》。

从mongod.exeKerberos支持开始。¶

您必须mongod.exe以服务主体帐户身份开始。

要开始mongod.exe支持Kerberos，请将mongod.exe参数 设置authenticationMechanisms为GSSAPI：

mongod.exe --setParameter authenticationMechanisms=GSSAPI <additional mongod.exe options>

包括配置所需的其他选项。例如，如果您希望远程客户端连接到您的部署，或者您的部署成员在不同的主机上运行，​​请指定 --bind_ip。有关更多信息，请参见 Localhost绑定兼容性更改。

例如，以下代码启动mongod.exe 具有Kerberos支持的独立实例：

mongod.exe --auth --setParameter authenticationMechanisms=GSSAPI --bind_ip localhost,<hostname(s)|ip address(es)>

连接mongo.exe外壳mongod.exe并进行身份验证。¶

将mongo.exeShell客户端连接为Kerberos主体application@EXAMPLE.NET。

您可以从命令行连接并进行身份验证。

使用cmd.exe：

mongo.exe --host hostname.example.net --authenticationMechanism=GSSAPI --authenticationDatabase=$external --username reportingapp@EXAMPLE.NET

使用：Windows PowerShell

mongo.exe --host hostname.example.net --authenticationMechanism=GSSAPI --authenticationDatabase='$external' --username reportingapp@EXAMPLE.NET

如果要连接主机名与Kerberos名称匹配的系统，请确保为该选项指定完全限定域名（FQDN）--host ，而不是IP地址或非限定主机名。

如果要连接主机名与Kerberos名称不匹配的系统，请使用--gssapiHostName 来指定其响应的Kerberos FQDN。

或者，您可以首先连接mongo.exe到 mongod.exe，然后从mongo.exe外壳使用该db.auth()方法在$external数据库中进行身份验证 。

use $external
db.auth( { mechanism: "GSSAPI", user: "reportingapp@EXAMPLE.NET" } )