美文网首页技术文“译”站我爱编程
MongoDB 启用身份验证 [译]

MongoDB 启用身份验证 [译]

作者: 伍源辉 | 来源:发表于2017-01-03 18:23 被阅读772次

概览

如果在部署了强制执行身份验证的 MongoDB 数据库中启用访问控制,会要求用户认证其身份。在连接启用了访问控制的 MongoDB 数据库时,用户只能执行他所属角色所用于的权限的相关操作。

MongoDB 支持不同的身份验证机制。

以下教程在一个独立的 mongod 实例中启用请求控制,并且使用默认的身份验证机制。

对于副本集和分片集群,你可以参考强制执行网络身份验证来开启请求控制功能。详情请参考网络身份验证章节

用户管理员

要开启请求控制,请确保在 admin 数据库中已经拥有一个 userAdmin 或者 userAdminAnyDatabase 角色的用户。这个用户可以管理用户、角色,例如:创建用户、给用户授权或者撤销角色、创建或者修改自定义角色等。

你可以在开启请求控制之前或之后创建用户。如果你在没有创建任何用户之前开启请求控制,MongoDB 抛出一个本地主机异常用于给你在 admin 数据库中创建一个用户管理员。一旦你已经创建,你需要拥有用户管理员授权才能创建其他同样的用户。

步骤

下面的步骤首先在没有开启请求控制时为 MongoDB 实例添加一个用户管理员,然后在开启请求控制。

1. 开启没有请求控制的 MongoDB 服务。

下面的例子开启一个独立的没有请求控制的 mongod 实例。

mongod --port 27017 --dbpath /data/db1

2. 连接实例

下面的例子使用 mongo 壳连接实例。

mongo --port 27017

可以适当使用额外的命令行参数去建立连接,例如 --host。

3. 创建用户管理员

在 admin 数据库中,添加一个拥有 userAdminAnyDatabase 角色的用户。下面的例子在 admin 数据库中创建 myUserAdmin 用户。

你创建用户时所在的数据库即作为改用户的认证授权数据库(此例中是 admin 数据库)。即使该用户授权给了这个数据库,这个用户还可以拥有其他数据库的角色。即用户的授权数据库不会限制用户的权限。

use admin
db.createUser(
  {
    user: "myUserAdmin",
    pwd: "abc123",
    roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]
  }
)

断开 mongo 壳连接。

4. 带上请求控制参数重启 MongoDB 实例

使用命令行选项 --auth 重启 mongod 实例,如果是使用配置文件,设置 security.authorization 选项。

mongod --auth --port 27017 --dbpath /data/db1

现在连接到这个实例的客户端都必须是已授权的 MongoDB 用户。客户端也只能执行指定所属角色拥有权限的操作。

5. 使用用户管理员帐户连接和授权

如果是使用 mongo 壳,你可以:

  • 通过传入用户凭证进行连接授权验证
  • 不验证先连接,然后使用 db.auth() 解决授权验证问题

在连接时验证授权

在 mongo 壳中传入 -u <username>, -p <password>, --authenticationDatabase <database> 参数:

mongo --port 27017 -u "myUserAdmin" -p "abc123" --authenticationDatabase "admin"

连接后验证授权

通过 mongo 壳连接 mongod:

mongo --port 27017

切换到授权数据库(此例中是 admin),使用 db.auth(<username>, <pwd>) 方法执行授权:

use admin
db.auth("myUserAdmin", "abc123" )

6. 根据需要创建其他用户

使用用户管理员授权登入后,就可以通过 db.createUser() 来创建更多用户了。你可以赋予任何内建角色或者自定义角色给这些用户。

myUserAdmin 只有管理用户和角色的权限,如果该用户尝试执行其他操作,例如在 test 数据库中的 foo 集合执行读取操作,MongoDB 会返回一个错误。

下面的操作给 test 数据库添加一个用户 myTester,该用户在 test 数据库中拥有 readWrite 角色,在 reporting 数据库中拥有 read 角色。

你创建用户时所在的数据库即作为改用户的认证授权数据库(此例中是 admin 数据库)。即使该用户授权给了这个数据库,这个用户还可以拥有其他数据库的角色。即用户的授权数据库不会限制用户的权限。

use test
db.createUser(
  {
    user: "myTester",
    pwd: "xyz123",
    roles: [ { role: "readWrite", db: "test" },
             { role: "read", db: "reporting" } ]
  }
)

7. 使用 myTester 连接和授权

在连接时验证授权
在 mongo 壳中传入 -u <username>, -p <password>, --authenticationDatabase <database> 参数:

mongo --port 27017 -u "myTester" -p "xyz123" --authenticationDatabase "test"

连接后验证授权
通过 mongo 壳连接 mongod:

mongo --port 27017

切换到授权数据库(此例中是 test),使用 db.auth(<username>, <pwd>) 方法执行授权:

use test
db.auth("myTester", "xyz123" )

往集合中插入数据
myTester 用户在 test 数据库拥有读写操作的权限(在 reporting 数据库中拥有读权限)。你可以在 test 数据库中执行下面的插入操作:

db.foo.insert( { x: 1, y: 1 } )

相关文章

  • MongoDB 启用身份验证 [译]

    概览 如果在部署了强制执行身份验证的 MongoDB 数据库中启用访问控制,会要求用户认证其身份。在连接启用了访问...

  • MongoDB 身份验证机制 [译]

    MongoDB 支持以下这些身份验证机制 SCRAM-SHA-1 MongoDB Challenge and Re...

  • MongoDB简单认证

    认证 验证是验证客户身份的过程。当启用访问控制(即授权)时,MongoDB要求所有客户端进行身份验证以确定其访问权...

  • MongoDB 用户名密码登录

    Mongodb enable authentication MongoDB 默认直接连接,无须身份验证,如果当前机...

  • 第四章 配置用户账户和访问控制

    提示 用户管理员账户和数据库管理员账户都是在数据库admin中创建的,在MongoDB服务器中启用身份验证后,要以...

  • SpringBooot整合mongoDB

    1、导入jar包依赖 2、配置文件 这里配置的是无身份验证 mongodb://ip:port[mongodb:/...

  • Mac上MongoDB安装采坑

    Mac上MongoDB安装采坑 启用MongoDB Compass连接错误 connect ECONNREFUSE...

  • MongoDB数据库安全

    前言: 此文为MongoDB官方文档翻译中文版,查看原文。 MongoDB提供各种功能,如身份验证、访问控制、加密...

  • mongoDB 鉴权角色权限和相关命令介绍

    前言 前一篇文章《mongoDB 启用鉴权设置》中讲了怎么启用 mongoDB 的鉴权设置,并且简单的加了一个 a...

  • mongoDB权限配置

    mongoDB的权限配置主要分为两步: 启用访问控制进入mongoDB的安装目录,如:C:\MongoDB\Ser...

网友评论

    本文标题:MongoDB 启用身份验证 [译]

    本文链接:https://www.haomeiwen.com/subject/qihnvttx.html