mongodb分片集群开启安全策略

搭建

https://blog.csdn.net/zzti_erlie/article/details/90675559

开始配置

1.生成秘钥文件，修改权限

openssl rand -base64 756 > /home/edison/mongodb/conf/auth_20000.conf
chmod 400 /home/edison/mongodb/conf/auth_20000.conf

2.分发到其他机器

scp /home/edison/mongodb/conf/auth_20000.conf edison@of-ad-dev-002:/home/edison/mongodb/conf/
scp /home/edison/mongodb/conf/auth_20000.conf edison@of-ad-dev-003:/home/edison/mongodb/conf/

3.创建管理员账号

登陆任意一台mongo

mongo of-ad-dev-001:20000
use admin
db.createUser(
{
	user:"root",
	pwd:"5KvQosdn8U9mdgY2",
	roles:[{role:"root",db:"admin"}]
	}
)

到集群中三台服务器，关闭mongod和mongos服务器

killall mongod
killall mongos

4.重新配置mongod和mongos

4.1依次在每台机器上的mongod（注意是所有的mongod不是mongos）的配置文件中加入下面一段配置。如我在of-ad-dev-001上的config server，shard1，shard2，shard3配置文件的最后都加入如下语句

security:
  keyFile: /home/edison/mongodb/conf/auth_20000.conf
  authorization: enabled

4.2 在每台机器上的mongos配置文件的最后都加入如下语句

security:
  keyFile: /home/edison/mongodb/conf/auth_20000.conf

4.3 重启每个节点的mongos，config server，shard server

5 连接mongodb集群

mongo of-ad-dev-001:20000 -u root -p 5KvQosdn8U9mdgY2 --authenticationDatabase admin

常见的用户角色

角色名	解释
read	允许用户读取指定数据库
readWrite	允许用户读写指定数据库
dbAdmin	允许用户在指定数据库中执行管理函数，如索引创建，删除，查看统计或访问system.profile
userAdmin	允许用户向system.users集合写入，可以找指定数据库里创建，删除和管理用户
clusterAdmin	只在admin数据库中可用，赋予用户所有分片和复制集相关函数的管理权限
readAnyDatabase	只在admin数据库中可用，赋予用户所有数据库的读权限
readWriteAnyDatabase	只在admin数据库中可用，赋予用户所有数据库的读写权限
userAdminAnyDatabase	只在admin数据库中可用，赋予用户所有数据库的userAdmin权限
dbAdminAnyDatabase	只在admin数据库中可用，赋予用户所有数据库的dbAdmin权限
root	只在admin数据库中可用。超级账号，超级权限

参考博客

[1]https://www.cnblogs.com/pl-boke/p/10064489.html
[2]https://blog.csdn.net/jeanette_zlj/article/details/79563954