52MongoDB启用身份验证
目录
对MongoDB部署启用访问控制会强制执行用户身份验证,要求在登录MongoDB系统用户识别自己。 当访问启用了访问控制的MongoDB部署时,用户只能执行由其角色确定的操作。
对于认证,MongoDB支持各种认证机制。
以下教程启用独立 mongod 实例的访问控制,并使用默认身份验证机制。
用户管理员
启用访问控制后,请确保在 admin
数据库中拥有 userAdmin
或 userAdminAnyDatabase
角色的用户。该用户可以管理用户和角色,例如:创建用户,授予或撤销用户角色,以及创建或修改定义角色。
可以在启用访问控制之前或之后创建用户。如果在创建任何用户之前启用访问控制,MongoDB将提供本地主机异常,允许在管理数据库中创建用户管理员。创建后,必须作为用户管理员进行身份验证,以根据需要创建其他用户。
过程
以下过程首先将用户管理员添加到运行无访问控制的 MongoDB 实例,然后启用访问控制。
第一步:启动MongoDB无需访问控制
例如,以下启动不具有访问控制的独立 mongod 实例。
mongod --port 27017 --dbpath /data/db1
第二步:连接到实例
例如,使用mongo shell
连接到实例。
mongo --port 27017
根据需要指定其他命令行选项以将mongo shell
连接到部署,例如--host
。
第三步:创建用户管理员
在管理数据库中,添加具有 userAdminAnyDatabase
角色的用户。 例如,以下在 admin
数据库中创建用户 myUserAdmin
:
注意:创建用户的数据库(在此示例中为
admin
)是用户的身份验证数据库。用户将对该数据库进行身份验证,但用户可以在其他数据库中担任角色; 即用户的认证数据库不限制用户的权限。
use admin
db.createUser(
{
user: "myUserAdmin",
pwd: "abc123",
roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]
}
)
执行上面命令后,断开mongo shell。
第四步:重新启动具有访问控制的MongoDB实例
使用--auth
命令行选项重新启动 mongod
实例,或者如果使用配置文件,则执行security.authorization
设置。
mongod --auth --port 27017 --dbpath /data/db1
连接到此实例的客户端现在必须以 MongoDB
用户身份进行身份验证。客户只能执行由其分配的角色确定的操作。
第五步:以用户管理员身份进行连接和验证
使用 mongo shell,可以:
- 通过传递用户凭据或
- 连接第一个withouth身份验证,然后发出
db.auth()
方法进行身份验证。
在连接期间进行身份验证
使用-u <username>
,-p <password>
和--authenticationDatabase <database>
命令行选项启动一个mongo shell
:
$ mongo --port 27017 -u "myUserAdmin" -p "abc123" --authenticationDatabase "admin"
连接后验证
将 mongo shell 连接到 mongodb
,也就是先连接,后验证用户身份 :
mongo --port 27017
切换到身份验证数据库(在这种情况下为admin
),并使用db.auth(<username>,<pwd>)
方法进行身份验证:
use admin
db.auth("myUserAdmin", "abc123" )
第六步:根据需要创建其他用户
当管理员用户进行身份验证通过之后,可使用db.createUser()
创建其他用户。可以为用户分配任何内置角色或用户定义的角色。
myUserAdmin
用户只具有管理用户和角色的权限。如果使用myUserAdmin
尝试执行任何其他操作,例如从test
数据库中的foo
集合读取数据,MongoDB将返回错误。
以下操作将用户 myTester
添加到在test
数据库中并给予test
数据库的readWrite
角色以及在reporting
数据库中读取角色。
注意:创建用户的数据库(在本示例中为
test
)是该用户的身份验证数据库。虽然用户将对该数据库进行身份验证,但用户可以在其他数据库中担任角色; 即用户的认证数据库不会限制用户的权限。
use test
db.createUser(
{
user: "myTester",
pwd: "xyz123",
roles: [ { role: "readWrite", db: "test" },
{ role: "read", db: "reporting" } ]
}
)
第七步:连接并验证为myTester
在连接期间进行身份验证
使用-u <username>
,-p <password>
和--authenticationDatabase <database>
命令行选项启动一个mongo shell:
$ mongo --port 27017 -u "myTester" -p "xyz123" --authenticationDatabase "test"
连接后验证
将mongo shell连接到 mongodb:
$ mongo --port 27017
切换到身份验证数据库(在这里为test
),并使用db.auth(<username>,<pwd>)
方法进行身份验证:
> use test
> db.auth("myTester", "xyz123" )
使用用户 myTester
插入一个集合
使用用户 myTester
,此用户有权在test
数据库中执行读写操作(以及在reporting
数据库中执行读操作)。 例如,在test
数据库中执行以下插入操作:
> db.foo.insert( { x: 1, y: 1 } )
最后,使用用户 myTester
,在reporting
数据库中执行插入操作看看返回结果:
> use reporting
db.auth("myTester", "xyz123" )
db.product.insert( { x: 1, y: 1 } )
关注右侧公众号,随时随地查看教程 MongoDB教程目录
转载自:https://www.yiibai.com/mongodb/enable-authentication.html