MongoDB 启用身份验证 [译]

概览

如果在部署了强制执行身份验证的 MongoDB 数据库中启用访问控制,会要求用户认证其身份。在连接启用了访问控制的 MongoDB 数据库时,用户只能执行他所属角色所用于的权限的相关操作。

MongoDB 支持不同的身份验证机制。

以下教程在一个独立的 mongod 实例中启用请求控制,并且使用默认的身份验证机制。

对于副本集和分片集群,你可以参考强制执行网络身份验证来开启请求控制功能。详情请参考网络身份验证章节

用户管理员

要开启请求控制,请确保在 admin 数据库中已经拥有一个 userAdmin 或者 userAdminAnyDatabase 角色的用户。这个用户可以管理用户、角色,例如:创建用户、给用户授权或者撤销角色、创建或者修改自定义角色等。

你可以在开启请求控制之前或之后创建用户。如果你在没有创建任何用户之前开启请求控制,MongoDB 抛出一个本地主机异常用于给你在 admin 数据库中创建一个用户管理员。一旦你已经创建,你需要拥有用户管理员授权才能创建其他同样的用户。

步骤

下面的步骤首先在没有开启请求控制时为 MongoDB 实例添加一个用户管理员,然后在开启请求控制。

1. 开启没有请求控制的 MongoDB 服务。

下面的例子开启一个独立的没有请求控制的 mongod 实例。

mongod --port 27017 --dbpath /data/db1

2. 连接实例

下面的例子使用 mongo 壳连接实例。

mongo --port 27017

可以适当使用额外的命令行参数去建立连接,例如 --host。

3. 创建用户管理员

在 admin 数据库中,添加一个拥有 userAdminAnyDatabase 角色的用户。下面的例子在 admin 数据库中创建 myUserAdmin 用户。

你创建用户时所在的数据库即作为改用户的认证授权数据库(此例中是 admin 数据库)。即使该用户授权给了这个数据库,这个用户还可以拥有其他数据库的角色。即用户的授权数据库不会限制用户的权限。

use admin
db.createUser(
  {
    user: "myUserAdmin",
    pwd: "abc123",
    roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]
  }
)

断开 mongo 壳连接。

4. 带上请求控制参数重启 MongoDB 实例

使用命令行选项 --auth 重启 mongod 实例,如果是使用配置文件,设置 security.authorization 选项。

mongod --auth --port 27017 --dbpath /data/db1

现在连接到这个实例的客户端都必须是已授权的 MongoDB 用户。客户端也只能执行指定所属角色拥有权限的操作。

5. 使用用户管理员帐户连接和授权

如果是使用 mongo 壳,你可以:

  • 通过传入用户凭证进行连接授权验证
  • 不验证先连接,然后使用 db.auth() 解决授权验证问题

在连接时验证授权

在 mongo 壳中传入 -u , -p , --authenticationDatabase 参数:

mongo --port 27017 -u "myUserAdmin" -p "abc123" --authenticationDatabase "admin"

连接后验证授权

通过 mongo 壳连接 mongod:

mongo --port 27017

切换到授权数据库(此例中是 admin),使用 db.auth(, ) 方法执行授权:

use admin
db.auth("myUserAdmin", "abc123" )

6. 根据需要创建其他用户

使用用户管理员授权登入后,就可以通过 db.createUser() 来创建更多用户了。你可以赋予任何内建角色或者自定义角色给这些用户。

myUserAdmin 只有管理用户和角色的权限,如果该用户尝试执行其他操作,例如在 test 数据库中的 foo 集合执行读取操作,MongoDB 会返回一个错误。

下面的操作给 test 数据库添加一个用户 myTester,该用户在 test 数据库中拥有 readWrite 角色,在 reporting 数据库中拥有 read 角色。

你创建用户时所在的数据库即作为改用户的认证授权数据库(此例中是 admin 数据库)。即使该用户授权给了这个数据库,这个用户还可以拥有其他数据库的角色。即用户的授权数据库不会限制用户的权限。

use test
db.createUser(
  {
    user: "myTester",
    pwd: "xyz123",
    roles: [ { role: "readWrite", db: "test" },
             { role: "read", db: "reporting" } ]
  }
)

7. 使用 myTester 连接和授权

在连接时验证授权
在 mongo 壳中传入 -u , -p , --authenticationDatabase 参数:

mongo --port 27017 -u "myTester" -p "xyz123" --authenticationDatabase "test"

连接后验证授权
通过 mongo 壳连接 mongod:

mongo --port 27017

切换到授权数据库(此例中是 test),使用 db.auth(, ) 方法执行授权:

use test
db.auth("myTester", "xyz123" )

往集合中插入数据
myTester 用户在 test 数据库拥有读写操作的权限(在 reporting 数据库中拥有读权限)。你可以在 test 数据库中执行下面的插入操作:

db.foo.insert( { x: 1, y: 1 } )

你可能感兴趣的:(MongoDB 启用身份验证 [译])