Mongodb副本集认证受权

时间  2020-07-26
标签 mongodb 副本 认证 受权 栏目 MongoDB 繁體版
原文   原文链接

副本集架构中须要开启用户的受权认证,也要配置副本集内部、成员身份验证。副本集对于成员的内部身份验证,MongoDB能够使用keyfiles或x.509证书。
使用keyfile身份验证,副本集中的每一个mongod实例都将keyfile的内容用做对部署中其余成员进行身份验证的共享密码。只有具备正确密钥文件的mongod实例才能加入副本集。
所选方法用于全部内部通讯。例如,当客户端使用支持的身份验证机制之一贯mongos进行身份验证时,mongos而后使用配置的内部身份验证方法链接到所需的mongod进程。mongodb

开启认证受权、和内部认证咱们须要下列步骤。

咱们须要建立管理员用户
建立秘钥文件
开启认证
重启服务shell

一、副本集详情:

副本集成员:
192.168.6.17:27031
192.168.6.17:27032
192.168.6.17:27033

1.一、副本集配置文件:

systemLog:
  destination: file
  logAppend: true
  path: /data/mdb1/logs/mongod.log
storage:
  dbPath: /data/mdb1/data
  journal:
    enabled: true
  directoryPerDB: true
  wiredTiger:
     engineConfig:
        directoryForIndexes: true
processManagement:
  fork: true
  pidFilePath: /data/mdb1/pid/mongod.pid
net:
  port: 27031
  bindIp: 192.168.6.17,localhost
  maxIncomingConnections: 50
#security:
#  keyFile: /data/mdb1/conf/keyfile
#  authorization: enabled
replication:
   replSetName: rs02

'副本集详细配置'数据库

二、首先咱们链接副本集的PRIMARY节点,建立用户

[root@VM_6_17_centos ~]# /root/mongodb-4.2.1/bin/mongo   192.168.6.17:27031
rs02:PRIMARY> use admin
switched to db admin
rs02:PRIMARY>db.createUser({
user:"mydba",
pwd:"12348970",
roles:
[
  {
    role:"root",
    db:"admin"
  }
]})
rs02:PRIMARY> db.getUsers()                  //查看admin数据库的用户
[
    {
        "_id" : "admin.mydba",
        "userId" : UUID("11aefd2d-ca1b-405e-b4d2-c79ec66c2a7e"),
        "user" : "mydba",
        "db" : "admin",
        "roles" : [
            {
                "role" : "root",
                "db" : "admin"
            }
        ],
        "mechanisms" : [
            "SCRAM-SHA-1",
            "SCRAM-SHA-256"
        ]
    }
]
rs02:PRIMARY>

建立秘钥文件
openssl rand-base64 756 > keyfile
chmod 400 keyfilecentos

[root@VM_6_17_centos ~]# cp keyfile /data/mdb1/conf/
[root@VM_6_17_centos ~]# cp keyfile /data/mdb2/conf/
[root@VM_6_17_centos ~]# cp keyfile /data/mdb3/conf/
开启认证:api

三、修改副本集集群全部成员的配置文件,开启认证

systemLog:
  destination: file
  logAppend: true
  path: /data/mdb1/logs/mongod.log
storage:
  dbPath: /data/mdb1/data
  journal:
    enabled: true
  directoryPerDB: true
  wiredTiger:
     engineConfig:
        directoryForIndexes: true
processManagement:
  fork: true
  pidFilePath: /data/mdb1/pid/mongod.pid
net:
  port: 27031
  bindIp: 192.168.6.17,localhost
  maxIncomingConnections: 50
security:
  keyFile: /data/mdb1/conf/keyfile                //内部使用keyfile
  authorization: enabled                                //开启认证
replication:
   replSetName: rs02

四、重启三个副本集节点,

如今咱们在链接PRIMARY节点服务器

[root@VM_6_17_centos ~]# /root/mongodb-4.2.1/bin/mongo   192.168.6.17:27031/admin  -u mydba  -p
MongoDB shell version v4.2.1
Enter password:                                 //输入密码

rs02:PRIMARY> show dbs;
admin     0.000GB
config    0.000GB
local     0.001GB
test_jia  0.000GB
rs02:PRIMARY> use test_jia
switched to db test_jia
rs02:PRIMARY> show tables;
user_hobby
user_info
rs02:PRIMARY>  
rs02:PRIMARY> db.createUser({              
... user:"haijiao",                //咱们建立普通用户并受权
... pwd:"87690544",
... roles:
... [
...   {
...     role:"readWrite",
...     db:"test_jia"
...   }
... ]})
Successfully added user: {
    "user" : "haijiao",
    "roles" : [
        {
            "role" : "readWrite",
            "db" : "test_jia"
        }

五、咱们使用普通用户登陆数据库

[root@VM_6_17_centos ~]# /root/mongodb-4.2.1/bin/mongo   192.168.6.17:27031/test_jia  -u haijiao -p
MongoDB shell version v4.2.1
Enter password:
connecting to: mongodb://192.168.6.17:27031/test_jia?compressors=disabled&gssapiServiceName=mongodb
Implicit session: session { "id" : UUID("bfa70dfe-2710-473c-90fb-59ab1ab97437") }
MongoDB server version: 4.2.1
rs02:PRIMARY> show tables;
user_hobby
user_info
rs02:PRIMARY> show dbs
test_jia  0.000GB
rs02:PRIMARY>

5.一、咱们也能够用另外一种方式登陆

[root@VM_6_17_centos ~]# /root/mongodb-4.2.1/bin/mongo   192.168.6.17:27032/test_jia
MongoDB shell version v4.2.1
connecting to: mongodb://192.168.6.17:27032/test_jia?compressors=disabled&gssapiServiceName=mongodb
Implicit session: session { "id" : UUID("2f7b17b3-bb01-46c4-ac37-a89c2e4586e4") }
MongoDB server version: 4.2.1
rs02:PRIMARY> show dbs;                                                           //没有权限
rs02:PRIMARY>  db.auth("haijiao","87690544")                          //认证
1
rs02:PRIMARY> show dbs;
test_jia  0.000GB
rs02:PRIMARY>
rs02:PRIMARY> show tables;
user_hobby
user_info
rs02:PRIMARY>

总结:咱们在线上部署时副本集使用域名进行配置,能够避免因为ip地址更改而致使的配置更改,
尽可能使用复杂的密码,服务器的数据端口使用防火墙进行限制,外网所有禁用,
内部能够容许某个ip或者网段访问,而且开启客户端认证受权。session

下一章咱们了解认证受权的详细内容。架构

相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程