對MongoDB部署啟用訪問控制會強制執行用戶身份驗證,要求在登錄MongoDB系統用戶識別自己。 當訪問啟用了訪問控制的MongoDB部署時,用戶只能執行由其角色確定的操作。
對於認證,MongoDB支持各種認證機制。
以下教學啟用獨立 mongod 實例的訪問控制,並使用默認身份驗證機制。
用戶管理員
啟用訪問控制後,請確保在 admin 資料庫中擁有 userAdmin 或 userAdminAnyDatabase 角色的用戶。該用戶可以管理用戶和角色,例如:創建用戶,授予或撤銷用戶角色,以及創建或修改定義角色。
可以在啟用訪問控制之前或之後創建用戶。如果在創建任何用戶之前啟用訪問控制,MongoDB將提供本地主機異常,允許在管理資料庫中創建用戶管理員。創建後,必須作為用戶管理員進行身份驗證,以根據需要創建其他用戶。
過程
以下過程首先將用戶管理員添加到運行無訪問控制的 MongoDB 實例,然後啟用訪問控制。
第一步:啟動MongoDB無需訪問控制
例如,以下啟動不具有訪問控制的獨立 mongod 實例。
mongod --port 27017 --dbpath /data/db1
第二步:連接到實例
例如,使用mongo shell連接到實例。
mongo --port 27017
根據需要指定其他命令行選項以將mongo shell連接到部署,例如--host。
第三步:創建用戶管理員
在管理資料庫中,添加具有 userAdminAnyDatabase 角色的用戶。 例如,以下在 admin 資料庫中創建用戶 myUserAdmin:
注意:創建用戶的資料庫(在此示例中為
admin)是用戶的身份驗證資料庫。用戶將對該資料庫進行身份驗證,但用戶可以在其他資料庫中擔任角色; 即用戶的認證資料庫不限制用戶的許可權。
use admin
db.createUser(
{
user: "myUserAdmin",
pwd: "abc123",
roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]
}
)
執行上面命令後,斷開mongo shell。
第四步:重新啟動具有訪問控制的MongoDB實例
使用--auth命令行選項重新啟動 mongod 實例,或者如果使用配置檔,則執行security.authorization設置。
mongod --auth --port 27017 --dbpath /data/db1
連接到此實例的客戶端現在必須以 MongoDB 用戶身份進行身份驗證。客戶只能執行由其分配的角色確定的操作。
第五步:以用戶管理員身份進行連接和驗證
使用 mongo shell,可以:
- 通過傳遞用戶憑據或
- 連接第一個withouth身份驗證,然後發出
db.auth()方法進行身份驗證。
在連接期間進行身份驗證
使用-u <username>,-p <password>和--authenticationDatabase <database>命令行選項啟動一個mongo shell:
$ mongo --port 27017 -u "myUserAdmin" -p "abc123" --authenticationDatabase "admin"
連接後驗證
將 mongo shell 連接到 mongodb,也就是先連接,後驗證用戶身份 :
mongo --port 27017
切換到身份驗證資料庫(在這種情況下為admin),並使用db.auth(<username>,<pwd>)方法進行身份驗證:
use admin
db.auth("myUserAdmin", "abc123" )
第六步:根據需要創建其他用戶
當管理員用戶進行身份驗證通過之後,可使用db.createUser()創建其他用戶。可以為用戶分配任何內置角色或用戶定義的角色。
myUserAdmin用戶只具有管理用戶和角色的許可權。如果使用myUserAdmin嘗試執行任何其他操作,例如從test資料庫中的foo集合讀取數據,MongoDB將返回錯誤。
以下操作將用戶 myTester 添加到在test資料庫中並給予test資料庫的readWrite角色以及在reporting資料庫中讀取角色。
注意:創建用戶的資料庫(在本示例中為
test)是該用戶的身份驗證資料庫。雖然用戶將對該資料庫進行身份驗證,但用戶可以在其他資料庫中擔任角色; 即用戶的認證資料庫不會限制用戶的許可權。
use test
db.createUser(
{
user: "myTester",
pwd: "xyz123",
roles: [ { role: "readWrite", db: "test" },
{ role: "read", db: "reporting" } ]
}
)
第七步:連接並驗證為myTester
在連接期間進行身份驗證
使用-u <username>,-p <password>和--authenticationDatabase <database>命令行選項啟動一個mongo shell:
$ mongo --port 27017 -u "myTester" -p "xyz123" --authenticationDatabase "test"
連接後驗證
將mongo shell連接到 mongodb:
$ mongo --port 27017
切換到身份驗證資料庫(在這裏為test),並使用db.auth(<username>,<pwd>)方法進行身份驗證:
> use test
> db.auth("myTester", "xyz123" )
使用用戶 myTester 插入一個集合
使用用戶 myTester,此用戶有權在test資料庫中執行讀寫操作(以及在reporting資料庫中執行讀操作)。 例如,在test資料庫中執行以下插入操作:
> db.foo.insert( { x: 1, y: 1 } )
最後,使用用戶 myTester,在reporting資料庫中執行插入操作看看返回結果:
> use reporting
db.auth("myTester", "xyz123" )
db.product.insert( { x: 1, y: 1 } )