身份验证¶
身份验证是验证客户身份的过程。通常情况下,客户端需要验证自己在做任何工作之前对MongoDB服务器用户数据库或阅读任何的数据mongod或蒙戈实例。
默认情况下,Percon雷竞技下载官网a MongoDB提供了一个服务器急停身份验证机制,客户自己通过提供用户凭据进行身份验证。此外,您可以集成Percona对MongoDB服务器与一个单独雷竞技下载官网的服务,如OpenLDAP或Active Directory。这使用户能够访问数据库使用相同的证书他们使用他们的电子邮件或工作站。
你可以使用任何一种身份验证机制支持Percona MongoDB服务器:雷竞技下载官网
急停¶
急停是默认的认证机制。雷竞技下载官网MongoDB Percona服务器验证证书对用户名、密码和数据库的用户记录为客户端创建(身份验证数据库)。如何启用这个机制,请参阅启用身份验证。
xcertificate authentication¶
这种身份验证机制使Percona服务器对客户端进行身份验证通过提供一个x MongoDB。雷竞技下载官网509证书而不是用户凭证。每个证书包含主题中定义的字段DN格式。在Pe雷竞技下载官网rcona MongoDB服务器,每个证书都有一个相应的用户记录美元的外部数据库。当用户连接到数据库时,MongoDB Percona服务器相匹配雷竞技下载官网主题对中定义的用户名美元的外部数据库。
对于生产使用,我们建议使用有效CA证书。出于测试目的,您可以生成和使用自签名证书。
xauthentication is compatible with withLDAP授权使您能够控制用户访问和操作Percona MongoDB服务器。雷竞技下载官网配置指南,请参考建立x。509年LDAP身份验证和授权。
LDAP身份验证与SASL¶
概述¶
LDAP身份验证与SASL意味着客户端和服务器建立SASL会话使用SASL库。然后验证(绑定)请求被发送到LDAP服务器通过SASL验证守护进程(saslauthd),作为一个远程的代理mongod服务器。
以下组件为外部认证工作是必要的:
LDAP服务器:远程存储所有用户凭据(如用户名和密码)相关联。
SASL守护进程:用作MongoDB server-local远程LDAP服务的代理。
SASL图书馆:使用MongoDB客户机和服务器创建身份验证机制所必需的数据。
下图说明了这个架构:
身份验证会话使用下列顺序:
- 一个
蒙戈客户端连接到一个运行mongod实例。 - 客户端创建一个
平原身份验证请求使用SASL库。 - 然后客户端向服务器发送这SASL请求作为一种特殊的mongo命令。
- 的
mongod服务器接收到这个SASL消息,身份验证请求负载。 - 然后,服务器创建一个SASL这个客户机会话作用域,使用自己的引用SASL图书馆。
- 然后服务器将验证载荷传递到SASL库,进而将其传递到
saslauthd守护进程。 - 的
saslauthd守护进程传递载荷的LDAP服务得到“是”或“否”的身份验证响应(换句话说,这个用户存在,密码是正确的)。 - 是的/没有响应从移动
saslauthd通过SASL库mongod。 - 的
mongod服务器使用这是的/不响应客户端进行身份验证或拒绝请求。 - 如果成功,客户端身份验证,可以继续。
配置的说明,请参阅SASL设置LDAP身份验证。
Kerberos身份验证¶
雷竞技下载官网Percona服务器MongoDB支持Kerberos身份验证从4.2.6-6发布。
这种身份验证机制涉及使用密钥分发中心(KDC)——一个对称加密组件操作票。一张票是少量的加密数据用于身份验证。是发布的用户会话,有限的生命周期。
在使用Kerberos身份验证时,您还与主体和经营领域。
领域逻辑网络,类似于一个域,所有Kerberos节点在同一主KDC。
主要是用户或服务Kerberos。Kerberos主体名称用于身份验证。一个服务主体代表服务,例如mongodb。用户主体代表用户。用户主体名称对应的用户名美元的外部数据库中雷竞技下载官网MongoDB Percona服务器。
下面的图显示了认证工作流程:
序列如下:
一个
蒙戈客户端发送Ticket-Grantng票(TGT)请求到密钥分发中心(KDC)KDC车票并将其发送给的问题
蒙戈客户端。的
蒙戈客户端发送请求的身份验证蒙戈服务器提供机票。的
蒙戈在KDC服务器验证机票。成功机票验证、身份验证请求批准和用户身份验证。
在Kerberos身份验证雷竞技下载官网MongoDB Percona服务器在MongoDB实现一样的企业。
另请参阅
MongoDB文档:Kerberos身份验证
创建:2022年12月8日