Konfigurējiet MongoDB ar Kerberos autentifikāciju: X.509 sertifikāti

Satura rādītājs:

Anonim

Kamēr autorizācija nodrošina klienta piekļuves nodrošināšanu sistēmai, autentifikācija pārbauda, ​​kāda veida piekļuve klientam ir MongoDB, tiklīdz viņi ir autorizēti sistēmā.

Ir dažādi autentifikācijas mehānismi, tālāk ir tikai daži no tiem.

MongoDB autentifikācija, izmantojot x.509 sertifikātus

Izmantojiet x.509 sertifikātus klienta autentificēšanai - sertifikāts būtībā ir uzticams paraksts starp klientu un MongoDB serveri.

Tātad tā vietā, lai izveidotu savienojumu ar serveri, ievadiet lietotāja vārdu un paroli, bet starp klientu un MongoDB serveri tiek nodots sertifikāts. Klientam būtībā būs klienta sertifikāts, kas tiks nosūtīts serverim, lai autentificētos serverī. Katrs klienta sertifikāts atbilst vienam MongoDB lietotājam. Tātad katram MongoDB lietotājam ir jābūt savam sertifikātam, lai autentificētos MongoDB serverī.

Lai nodrošinātu, ka tas darbojas, ir jāveic šādas darbības;

  1. Derīgs sertifikāts ir jāpērk no derīgas trešās puses iestādes un jāinstalē MongoDB serverī.
  2. Klienta sertifikātam ir jābūt šādām īpašībām (Vienai sertifikātu iestādei (CA) jāizsniedz sertifikāti gan klientam, gan serverim. Klienta sertifikātos jābūt šādiem laukiem - keyUsage un ExtendedKeyUsage.
  3. Katram lietotājam, kurš izveido savienojumu ar MongDB serveri, jābūt atsevišķam sertifikātam.

Mongodb autentifikācija ar Kerberos

1. darbība. Konfigurējiet MongoDB ar Kerberos autentifikāciju logos - Kerberos ir autentifikācijas mehānisms, ko izmanto lielās klienta-servera vidēs.

Tas ir ļoti drošs mehānisms, kurā parole ir atļauta tikai tad, ja tā ir šifrēta. Nu, MongoDB ir iespēja autentificēties, izmantojot esošo Kerberos balstītu sistēmu.

2. solis) Sāciet mongod.exe servera procesu.

3. solis) Sāciet klienta procesu mongo.exe un izveidojiet savienojumu ar MongoDB serveri.

4. solis. Pievienojiet lietotāju MongoDB, kas būtībā ir Kerberos galvenais vārds $ ārējai datu bāzei. Ārējā datubāze $ ir īpaša datu bāze, kas MongoDB liek autentificēt šo lietotāju, izmantojot Kerberos sistēmu, nevis savu iekšējo sistēmu.

use $externaldb.createUser({user: "This email address is being protected from spambots. You need JavaScript enabled to view it.",roles:[{role: "read" , db:"Marketing"}}]}

5. solis. Sāciet mongod.exe ar Kerberos atbalstu, izmantojot šādu komandu

mongod.exe -auth -setParameter authenticationMechanisms=GSSAPI

Un pēc tam tagad varat izveidot savienojumu ar Kerberos lietotāju un Kerberos autentifikāciju datu bāzē.

Kopsavilkums:

  • Lai nodrošinātu lielāku drošību datu bāzēs, ir dažādi autentifikācijas mehānismi. Viens piemērs ir sertifikātu izmantošana lietotāju autentificēšanai, nevis lietotājvārdu un paroļu izmantošana.