为您的 Ops Manager 项目启用用户名和密码身份验证
概述
Ops Manager 允许您配置所有客户端(包括 Ops Manager 代理)用于连接到 MongoDB 部署的身份验证机制。 您可以为每个项目启用多种身份验证机制,但必须为代理仅选择一种机制。
MongoDB 用户可以使用用户名和密码根据 MongoDB 数据库对自己进行身份验证。
|
MongoDB 版本
|
默认身份验证机制
|
|---|---|
|
MongoDB 4.0 及更高版本
|
使用 SHA-1 和 SHA-256 哈希算法(
SCRAM-SHA-1
和
SCRAM-SHA-256
)的 Salted 挑战响应身份验证机制 (SCRAM)。
|
|
MongoDB 3.4 至 3.6
|
使用 SHA-1 哈希算法 (
SCRAM-SHA-1
) 的 Salted 挑战响应身份验证机制 (SCRAM)。
|
SCRAM-SHA-1
和
SCRAM-SHA-256
SCRAM-SHA-1 ( RFC5802 )和 SCRAM-SHA-256 ( RFC7677 )是 IETF 标准,定义了实施使用密码对用户进行身份验证的质询-响应机制的最佳实践方法。
SCRAM-SHA-1
和
SCRAM-SHA-256
使用用户名、密码和身份验证数据库验证提供的用户凭证。身份验证数据库是创建用户的数据库。
注意事项
本教程介绍如何为 Ops Manager MongoDB 部署启用用户名和密码身份验证。
注意
MongoDB Community 版本支持用户名和密码身份验证以及 x.509 身份验证。
注意
如果要 重置项目的身份验证和 TLS 设置 ,请先取消管理 Ops Manager 在项目中 管理的任何 MongoDB 部署 。
步骤
此操作步骤介绍如何在使用自动化时配置和启用用户名和密码身份验证。 如果 Ops Manager 不托管您的 MongoDB 代理,您必须手动将其配置为使用用户名和密码。要了解如何配置身份验证,请参阅 为身份验证配置 MongoDB Agent。
注意
如果将 Ops Manager 应用程序配置为使用 SCRAM-SHA-256 进行身份验证,则无法部署 4.0 之前的版本 MongoDB 集群。
1
2
可选:指定
TLS
设置。
不需要 TLS 可与 Username/Password (SCRAM-SHA-256) (用户名/密码 (MONGODB-CR/SCRAM-SHA-1))或 {2}((用户名/密码 (SCRAM-SHA-256)))身份验证一起使用。
|
字段
|
操作
|
|---|---|
|
MongoDB 部署传输层安全 (TLS)
|
将此滑块切换至
ON
(开启)。
|
|
TLS CA 文件路径
|
TLS
证书颁发机构文件是
在运行 MongoDB 进程的每个主机上键入 TLS 证书颁发机构文件的文件路径:
这将为项目中的 MongoDB 进程启用
单击 Validate (验证)测试部署中每个主机在您指定的路径上是否都有 TLS 证书颁发机构。 |
|
客户端证书模式
|
选择在连接到启用 TLS 的 MongoDB 部署时客户端应用程序或 MongoDB 助手是否必须提供 TLS 证书。每个 MongoDB 部署都会在这些客户端主机尝试连接时检查来自这些客户端主机的证书。如果选择要求客户端 TLS 证书,请确保它们有效。 接受的值为: |
3
4
Username/Password (MONGODB-CR/SCRAM-SHA-1)
Username/Password (SCRAM-SHA-256)
为代理配置 或 。
您可以为 MongoDB 部署启用多种身份验证机制,但 Ops Manager 代理只能使用 一种 身份验证机制。
在 MongoDB Agent Connections to Deployment (MongoDB 助手连接到部署)部分中,选择 Username/Password (MONGODB-CR/SCRAM-SHA-1) (用户名/密码 (MONGODB-CR/SCRAM-SHA-1))和/或 Username/Password (SCRAM-SHA-256) (用户名/密码 (SCRAM-SHA-256))。
Ops Manager 自动生成代理的用户名和密码。
Ops Manager 在 Ops Manager 中每个现有部署的管理员数据库中为具有所需角色的代理创建用户。添加新部署时,Ops Manager 会在新部署中创建所需的用户。