使用本地LDAP通过自管理Active Directory进行用户认证和授权

配置运行MongoDB服务器的TLS/SSL

要通过TLS/SSL连接到AD（活动目录）服务器，需要为mongod或mongos提供访问AD服务器证书颁发机构（CA）证书的权限。

在Linux上，通过在ldap.conf文件中使用TLS_CACERT或TLS_CACERTDIR选项来指定AD服务器的CA证书。

您的平台包管理器在安装MongoDB Enterprise的libldap依赖项时创建ldap.conf文件。有关配置文件或引用选项的完整文档，请参阅ldap.conf。

在Microsoft Windows上，使用平台的凭据管理工具加载AD服务器的证书颁发机构（CA）证书。确切的凭据管理工具取决于Windows版本。要使用该工具，请参考其针对您版本< span tabindex="0" class="leafygreen-ui-vm4wms">Windows的文档。

如果mongod或mongos无法访问AD CA文件，则无法创建与Active Directory服务器的TLS/SSL连接。

可选地，将security.ldap.transportSecurity设置为none以禁用TLS/SSL。

连接到 MongoDB 服务器。

使用 mongosh 通过 --host 和 --port 选项连接到 MongoDB 服务器。

mongosh --host <hostname> --port <port>

如果您的 MongoDB 服务器当前强制执行身份验证，您必须使用具有角色管理权限的用户（例如由 userAdmin 或 userAdminAnyDatabase 提供的权限）的身份验证到 admin 数据库。包括 MongoDB 服务器配置的身份验证机制适当的 --authenticationMechanism。

mongosh --host <hostname> --port <port> --username <user> --password <pass> --authenticationDatabase="admin" --authenticationMechanism="<mechanism>"

创建用户管理角色。

要使用 AD 管理 MongoDB 用户，您需要在 admin 数据库上创建至少一个可以创建和管理角色的角色，例如由 userAdmin 或 userAdminAnyDatabase 提供的权限。

角色的名称必须与 AD 组的区分名完全匹配。该组必须至少有一个 AD 用户作为成员。

给定可用的 Active Directory 组，以下操作

• 为 AD 组 CN=dba,CN=Users,DC=example,DC=com 创建一个名为的角色，并且

• 将其分配到 admin 数据库上的 userAdminAnyDatabase 角色。

var admin = db.getSiblingDB("admin")
admin.createRole(
   {
     role: "CN=dba,CN=Users,DC=example,DC=com",
     privileges: [],
     roles: [ "userAdminAnyDatabase" ]
   }
)

您也可以为用户应拥有用户管理权限的每个数据库授予 userAdmin 角色。这些角色提供了创建和管理角色的必要权限。

创建一个 MongoDB 配置文件。

MongoDB 配置文件 是一个具有 .conf 扩展名的纯文本 YAML 文件。

• 如果您正在升级现有的 MongoDB 部署，请复制当前的配置文件并从该副本开始工作。

• (仅限 Linux) 如果这是一个新的部署 并且 您使用了平台的软件包管理器来安装 MongoDB 企业版，则安装包括默认配置文件 /etc/mongod.conf。使用该默认配置文件，或复制该文件以从该副本开始工作。

• 如果不存在此类文件，请创建一个具有 .conf 扩展名的空文件并从该新配置文件开始工作。

配置MongoDB连接到Active Directory。

在MongoDB配置文件中，将 security.ldap.servers 设置为 AD 服务器的地址和端口。如果您的 AD 基础设施包含多个 AD 服务器用于复制目的，请将服务器地址和端口作为以逗号分隔的列表指定为 security.ldap.servers。

您还必须通过将 security.authorization 设置为 enabled 和 setParameter authenticationMechanisms 设置为 PLAIN 来启用 LDAP 认证。

security:
  authorization: "enabled"
  ldap:
    servers: "activedirectory.example.net"
setParameter:
  authenticationMechanisms: 'PLAIN'

MongoDB 必须绑定到 AD 服务器以执行查询。默认情况下，MongoDB 使用简单认证机制将自身绑定到 AD 服务器。

或者，您可以在配置文件中配置以下设置以使用 SASL 绑定到 AD 服务器

• 将 security.ldap.bind.method 设置为 sasl

• security.ldap.bind.saslMechanisms，指定 AD 服务器支持的以逗号分隔的 SASL 机制字符串。

本教程使用默认的 simple LDAP 认证机制。

配置授权的 LDAP 查询模板。

在MongoDB的配置文件中，将 security.ldap.authz.queryTemplate 设置为 RFC4516 格式的LDAP查询URL模板。

在模板中，您可以使用

• {USER} 占位符，将认证用户名替换到LDAP查询URL中。

• {PROVIDED_USER} 占位符，将提供的用户名（即在认证或LDAP转换之前）替换到LDAP查询中。

security:
  ldap:
    authz:
      queryTemplate:
        "DC=example,DC=com??sub?(&(objectClass=group)(member:1.2.840.113556.1.4.1941:={USER}))"

MongoDB 将每个返回的组 DN 映射到 admin 数据库上的一个角色。对于每个映射的组 DN，如果 admin 数据库上存在一个与其名称完全匹配的现有角色，MongoDB 将授予用户该角色分配的权限和角色。

匹配规则 LDAP_MATCHING_RULE_IN_CHAIN 需要提供认证用户的完整 DN。如果用户使用不同的用户名格式进行认证，例如他们的 用户主体名称，则必须使用 security.ldap.userToDNMapping 将传入的用户名转换为 DN。

可选：通过Active Directory对传入的用户名进行身份验证转换，

如果您的用户使用不是完整LDAP DN的用户名进行身份验证，您可能需要将用户名转换为支持LDAP身份验证或授权。MongoDB使用转换后的用户名进行身份验证和授权。

在MongoDB配置文件中，将userToDNMapping设置为将认证用户的提供用户名转换为AD DN以支持queryTemplate。

security:
  ldap:
    userToDNMapping:
      '[
         {
            match : "(.+)",
            ldapQuery: "DC=example,DC=com??sub?(userPrincipalName={0})"
         }
    ]'

您必须修改给定的示例配置以匹配您的部署。例如，ldapQuery基本DN必须与包含您的用户实体的基本DN匹配。可能需要进行其他修改以支持您的AD部署。

DC=example,DC=com??sub?(userPrincipalName=alice@ENGINEERING.EXAMPLE.COM)

配置查询凭证。

MongoDB 需要凭证才能在 AD 服务器上执行查询。

在配置文件中配置以下设置

• security.ldap.bind.queryUser，指定用于在 AD 服务器上执行查询的 Active Directory 用户 mongod 或 mongos。

• security.ldap.bind.queryPassword，指定指定 queryUser 的密码。

security:
  ldap:
    bind:
      queryUser: "mongodbadmin@dba.example.com"
      queryPassword: "secret123"

在 Windows MongoDB 服务器上，您可以将 security.ldap.bind.useOSDefaults 设置为 true 以使用 OS 用户的凭证而不是 queryUser 和 queryPassword。

queryUser 必须具有代表 MongoDB 执行所有 LDAP 查询的权限。

可选：添加额外的配置设置。

添加您部署所需的任何额外配置选项。例如，您可以指定所需的 storage.dbPath 或更改默认的 net.port 端口号。

mongod 和 mongos 默认绑定到本地主机。如果您的部署成员在不同的主机上运行或您希望远程客户端连接到您的部署，您必须指定 net.bindIp 设置。

使用活动目录身份验证和授权启动 MongoDB 服务器。

使用 --config 选项启动 MongoDB 服务器，指定在此过程中创建的配置文件路径。如果 MongoDB 服务器当前正在运行，请进行适当的准备以停止服务器。

mongod --config <path-to-config-file>

Windows MongoDB 部署必须使用 mongod.exe 而不是 mongod。

连接到 MongoDB 服务器。

连接到 MongoDB 服务器，以用户身份验证，其直接或间接组成员资格对应于 admin 数据库上的 MongoDB 角色，该角色具有 userAdmin、userAdminAnyDatabase 或具有等效权限的自定义角色。

使用 mongosh 验证 MongoDB 服务器，设置以下选项

• --host 使用 MongoDB 服务器的主机名

• --port 使用 MongoDB 服务器的端口号

• --username 为用户名

• --password 为用户密码

• --authenticationMechanism 为 'PLAIN'

• --authenticationDatabase 为 '$external'

mongosh --username sam@DBA.EXAMPLE.COM --password  --authenticationMechanism 'PLAIN' --authenticationDatabase '$external' --host <hostname> --port <port>

Windows MongoDB 部署必须使用 mongo.exe 而不是 mongosh。

给定配置的 Active Directory 用户，用户成功验证并获得了适当的权限。

创建用于映射返回的AD组的角色。

对于您希望在MongoDB授权中使用的AD服务器上的每个组，您必须在MongoDB服务器的admin数据库中创建一个对应的角色。

db.getSiblingDB("admin").createRole(
   {
     role: "CN=PrimaryApplication,CN=Users,DC=example,DC=com",
     privileges: [],
     roles: [
       { role: "readWrite", db: "PrimaryApplication" }
     ]
   }
)

将现有用户从$external过渡到ActiveDirectory服务器

如果要在配置在 $external 数据库上的 用户 上升级现有安装，您必须满足以下要求以确保在为 AD 身份验证和授权配置 MongoDB 后可以访问

• 用户在 AD 服务器上有一个相应的用户对象。

• 用户在 AD 服务器上的适当组中具有成员资格。

• MongoDB 包含名为用户 AD 组的 admin 数据库中的角色，这样授权用户可以保留其权限。

{
  user : "joe@ANALYTICS.EXAMPLE.COM",
  roles: [
    { role : "read", db : "web_analytics" },
    { role : "read", db : "PrimaryApplication" }
  ]
}

db.getSiblingDB("admin").createRole(
   {
     role: "CN=marketing,CN=Users,DC=example,DC=com",
     privileges: [],
     roles: [
       { role: "read", db: "web_analytics" }
       { role: "read", db: "PrimaryApplication" }
     ]
   }
)

如果您希望继续允许非 $external 数据库上的用户访问 MongoDB，您必须在 setParameter 配置选项 authenticationMechanisms 中包含 SCRAM 身份验证机制（例如，SCRAM-SHA-1 和/或 SCRAM-SHA-256）。例如

setParameter:
  authenticationMechanisms: "PLAIN,SCRAM-SHA-1,SCRAM-SHA-256"

或者，通过遵循上述程序将非 $external 用户过渡到 AD。