在Linux上使用Kerberos身份验证配置MongoDB

MongoDB 中文手册

介绍
安装
mongo shell
MongoDB CRUD操作
文字搜寻
地理空间查询
聚合
资料模型
指标
安全
安全清单
启用访问控制
认证方式
用户数
认证机制
企业认证机制
Kerberos身份验证
在Linux上使用Kerberos身份验证配置MongoDB
在Windows上使用Kerberos身份验证配置MongoDB
Kerberos身份验证疑难解答
使用Kerberos身份验证和Active Directory授权配置MongoDB
LDAP代理验证
LDAP授权
内部/会员身份验证
基于角色的访问控制
TLS / SSL（传输加密）
静态加密
客户端字段级加密
稽核
网络和配置强化
实施字段级别修订
安全参考
创建漏洞报告
附录
更改流
复写
分片
管理
数据中心意识
存储
经常问的问题
参考
发行说明
技术支持

参考 > 安全 > 认证方式 > 企业认证机制 > Kerberos身份验证 > 在Linux上使用Kerberos身份验证配置MongoDB

在本页面

总览
先决条件
程序
其他注意事项

概述¶

MongoDB Enterprise支持使用Kerberos服务的身份验证。Kerberos是用于大型客户端/服务器系统的行业标准身份验证协议。

前提条件¶

要验证您使用的是MongoDB Enterprise，请将--version 命令行选项传递给mongod或mongos：

复制

mongod --version

在此命令的输出中，查找字符串或确认您正在使用MongoDB Enterprise二进制文件。modules: subscriptionmodules: enterprise

对于副本集和分片群集，请确保您的配置使用完全合格的域名（FQDN），而不是IP地址或不合格的主机名。您必须使用FQDN for GSSAPI才能正确解析Kerberos领域并允许您进行连接。

设置和配置Kerberos部署超出了本文档的范围。请参阅MIT Kerberos文档或您的操作系统文档，以获取有关如何配置Kerberos部署的信息。

为了使用MongoDB的使用Kerberos， Kerberos服务主为每个 mongod和mongos实例在MongoDB的部署必须添加到Kerberos数据库。您可以通过在KDC上运行类似于以下命令的命令来添加服务主体：

复制

kadmin.local addprinc mongodb/m1.example.com@EXAMPLE.COM

在运行mongod或的每个系统上mongos，必须为相应的服务主体创建一个密钥表文件。您可以通过在运行或的系统上运行类似于以下命令的命令来创建密钥表文件：mongodmongos

复制

kadmin.local ktadd mongodb/m1.example.com@EXAMPLE.COM

程序¶

以下过程概述了以下步骤：将Kerberos用户主体添加到MongoDB，mongod为Kerberos 配置独立实例，并使用mongo外壳进行连接并验证用户主体。

1个

在`mongod`没有Kerberos的情况下启动。¶

对于最初添加的Kerberos用户，请在mongod 不支持Kerberos的情况下开始。

如果Kerberos用户已经在MongoDB中并且具有创建用户所需的特权，则可以从mongodKerberos支持入手。

包括适合您的部署的其他设置。

注意

开始在MongoDB中3.6，mongod并mongos 绑定默认为localhost。如果部署的成员在不同的主机上运行，或者希望远程客户端连接到部署，则必须指定--bind_ip或 net.bindIp。有关更多信息，请参见 Localhost绑定兼容性更改。

连接到`mongod`。¶

通过mongo外壳连接到mongod 实例。如果mongod已--auth启用，请确保您具有创建用户所需的特权。

将Kerberos主体添加到MongoDB。¶

将Kerberos主体（或）添加到数据库中的MongoDB 。以全部大写形式指定Kerberos领域。该数据库允许查阅外部源（例如Kerberos）进行身份验证。要指定用户的特权，请为用户分配角色。<username>@<KERBEROS REALM><username>/<instance>@<KERBEROS REALM>$external$externalmongod

在版本3.6.3中更改：要与$external身份验证用户（即Kerberos，LDAP，x.509用户）一起使用会话，用户名不能大于10k字节。

下面的示例添加application/reporting@EXAMPLE.NET对records数据库具有只读访问权限的Kerberos主体：

复制

use $external
db.createUser(
   {
     user: "application/reporting@EXAMPLE.NET",
     roles: [ { role: "read", db: "records" } ]
   }
)

根据需要添加其他主体。对于要使用Kerberos进行身份验证的每个用户，必须在MongoDB中创建一个相应的用户。有关创建和管理用户的更多信息，请参阅《用户管理命令》。

从`mongod`Kerberos支持开始。¶

要开始mongod支持Kerberos，请将环境变量设置为KRB5_KTNAMEkeytab文件的路径，并将mongod参数 authenticationMechanisms设置GSSAPI为以下格式：

复制

env KRB5_KTNAME=<path to keytab file> \
mongod \
--setParameter authenticationMechanisms=GSSAPI \
<additional mongod options>

包括配置所需的其他选项。例如，如果您希望远程客户端连接到您的部署，或者您的部署成员在不同的主机上运行，请指定 --bind_ip。有关更多信息，请参见 Localhost绑定兼容性更改。

例如，以下代码启动mongod 具有Kerberos支持的独立实例：

复制

env KRB5_KTNAME=/opt/mongodb/mongod.keytab \
/opt/mongodb/bin/mongod --auth \
--setParameter authenticationMechanisms=GSSAPI \
--dbpath /opt/mongodb/data --bind_ip localhost,<hostname(s)|ip address(es)>

mongod您的密钥表文件的路径也可能不同。该密钥表文件必须是唯一的所有者访问mongod 过程。

使用官方.deb或.rpm软件包，您可以 KRB5_KTNAME在环境设置文件中进行设置。有关详细信息，请参见 KRB5_KTNAME。

连接`mongo`外壳`mongod`并进行身份验证。¶

将mongoShell客户端连接为Kerberos主体 application/reporting@EXAMPLE.NET。在连接之前，您必须已经使用Kerberos的kinit程序来获取的凭据 application/reporting@EXAMPLE.NET。

您可以从命令行连接并进行身份验证。

复制

mongo --host hostname.example.net --authenticationMechanism=GSSAPI --authenticationDatabase='$external' --username application/reporting@EXAMPLE.NET

如果要连接主机名与Kerberos名称匹配的系统，请确保为该选项指定完全限定域名（FQDN）--host ，而不是IP地址或非限定主机名。

如果要连接主机名与Kerberos名称不匹配的系统，请使用--gssapiHostName 来指定其响应的Kerberos FQDN。

或者，您可以首先连接mongo到 mongod，然后从mongo外壳使用该db.auth()方法在$external数据库中进行身份验证。

复制

use $external
db.auth( { mechanism: "GSSAPI", user: "application/reporting@EXAMPLE.NET" } )

其他注意事项¶

KRB5_KTNAME ¶

如果您使用官方.deb 或.rpm软件包之一安装了MongoDB Enterprise ，并且使用了随附的init / upstart脚本来控制mongod实例，则可以KR5_KTNAME 在默认环境设置文件中设置变量，而不必每次都设置变量。

对于.rpm软件包，默认环境设置文件是 /etc/sysconfig/mongod。

对于.deb软件包，文件为/etc/default/mongodb。

KRB5_KTNAME在类似于以下内容的行中设置值：

复制

export KRB5_KTNAME="<path to keytab>"

配置`mongos`为Kerberos ¶

要开始mongos支持Kerberos，请将环境变量设置KRB5_KTNAME为其keytab文件的路径，并将mongos参数 authenticationMechanisms设置GSSAPI为以下格式：

复制

env KRB5_KTNAME=<path to keytab file> \
mongos \
--setParameter authenticationMechanisms=GSSAPI \
<additional mongos options>

例如，以下启动mongos具有Kerberos支持的实例：

复制

env KRB5_KTNAME=/opt/mongodb/mongos.keytab \
mongos \
--setParameter authenticationMechanisms=GSSAPI \
--configdb shard0.example.net, shard1.example.net,shard2.example.net \
--keyFile /opt/mongodb/mongos.keyfile \
--bind_ip localhost,<hostname(s)|ip address(es)>

mongos您的密钥表文件的路径也可能不同。该密钥表文件必须是唯一的所有者访问mongos过程。

mongos根据您的配置修改或包括任何其他选项。例如， --keyFile您可以使用x.509成员身份验证来代替分片群集成员的内部身份验证。

使用配置文件¶

要使用配置文件进行配置mongod或mongos获得Kerberos支持，请在配置文件中指定 authenticationMechanisms设置。

如果使用YAML配置文件格式：

复制

setParameter:
   authenticationMechanisms: GSSAPI

包括配置所需的其他选项。例如，如果您希望远程客户端连接到您的部署，或者您的部署成员在不同的主机上运行，请指定net.bindIp设置。有关更多信息，请参见Localhost绑定兼容性更改。

例如，如果/opt/mongodb/mongod.conf包含独立的以下配置设置mongod：

复制

security:
   authorization: enabled
setParameter:
   authenticationMechanisms: GSSAPI
storage:
   dbPath: /opt/mongodb/data
net:
   bindIp: localhost,<hostname(s)|ip address(es)>

要开始mongod支持Kerberos，请使用以下形式：

复制

env KRB5_KTNAME=/opt/mongodb/mongod.keytab \
/opt/mongodb/bin/mongod --config /opt/mongodb/mongod.conf

mongod，keytab文件和配置文件的路径可能不同。该密钥表文件必须是唯一的所有者访问mongod过程。

对MongoDB的Kerberos设置进行故障排除¶

如果在启动mongod或 mongos使用Kerberos身份验证时遇到问题，请参阅 Kerberos身份验证疑难解答。

合并其他身份验证机制¶

Kerberos身份验证（GSSAPI（Kerberos））可以与以下功能一起使用：

MongoDB的SCRAM身份验证机制：
- SCRAM-SHA-1
- SCRAM-SHA-256（ MongoDB 4.0中添加）
MongoDB的LDAP认证机制：
- 普通（LDAP SASL）
MongoDB的x.509身份验证机制：
- MONGODB-X509）

指定以下机制：

复制

--setParameter authenticationMechanisms=GSSAPI,SCRAM-SHA-256

仅在使用时添加其他机制。此参数设置不会影响MongoDB对集群成员的内部身份验证。