MongoDB教程：身份验证证书配置

青旅半醒 2023-10-15 09:39 130阅读 0赞

授权是为了确保客户端对系统的访问，而身份验证会检查客户端在被授权进入系统后在MongoDB中的访问类型。

身份验证机制有很多种，以下是其中几种。

#### 使用x.509证书的MongoDB身份验证 ####

使用x.509证书对客户端进行身份验证–证书基本上是客户端和MongoDB服务器之间的信任签名。

因此，无需输入用户名和密码来连接服务器，而是在客户端和MongoDB服务器之间传递证书。客户端基本上将具有客户端证书，该证书将传递到服务器以对服务器进行身份验证。每个客户端证书对应一个MongoDB用户。因此，来自MongoDB的每个用户都必须拥有自己的证书才能通过MongoDB服务器进行身份验证。

为确保此功能有效，必须遵循以下步骤；

1.  必须从有效的第三方机构购买有效的证书并将其安装在MongoDB服务器上。
2.  客户端证书必须具有以下属性（单个证书颁发机构（CA）必须同时为客户端和服务器颁发证书。客户端证书必须包含以下字段-keyUsage和extendedKeyUsage。
3.  连接到MongDB服务器的每个用户都需要有一个单独的证书。

#### 使用Kerberos的Mongodb身份验证 ####

\*\*第一步）\*\*在Windows上使用Kerberos身份验证配置MongoDB – Kerberos是大型客户端-服务器环境中使用的身份验证机制。

这是一种非常安全的机制，其中密码只有在加密时允许使用。当然，MongoDB具有针对现有的基于Kerberos的系统进行身份验证的功能。

\*\*第二步）\*\*启动mongod.exe服务器进程。

\*\*第三步）\*\*启动mongo.exe客户端进程并连接到MongoDB服务器。

\*\*第四步）\*\*在MongoDB中添加一个用户，该用户基本上是$ external数据库的Kerberos主体名称。$ external数据库是一个特殊的数据库，它告诉MongoDB根据Kerberos系统而不是其自己的内部系统对该用户进行身份验证。

[![img][]][img 1]

use $external
    
    db.createUser(
        {
        
            user: "[user1@example.NET](mailto:user1@example.NET)",
            roles:[
                {
        
                	role: "read" , db:"Marketing"}
                }
            ]	
        }
    )

\*\*第五步）\*\*使用命令启动具有Kerberos支持的mongod.exe

mongod.exe –auth –setParameter authenticationMechanisms=GSSAPI

现在可以使用Kerberos用户和Kerberos身份验证连接到数据库。

**摘要：**

*  有多种身份验证机制可以在数据库中提供更好的安全性。这个是使用证书对用户进行身份验证，而不是使用用户名和密码。

--------------------

links：

[https://www.guru99.com/mongodb-authentication-kerberos.html][https_www.guru99.com_mongodb-authentication-kerberos.html]

[https://mongoing.com/archives/docs/mongodb%e5%88%9d%e5%ad%a6%e8%80%85%e6%95%99%e7%a8%8b/%e4%bd%bf%e7%94%a8kerberos%e8%ba%ab%e4%bb%bd%e9%aa%8c%e8%af%81%e9%85%8d%e7%bd%aemongodb%ef%bc%9ax-509%e8%af%81%e4%b9%a6][https_mongoing.com_archives_docs_mongodb_e5_88_9d_e5_ad_a6_e8_80_85_e6_95_99_e7_a8_8b_e4_bd_bf_e7_94_a8kerberos_e8_ba_ab_e4_bb_bd_e9_aa_8c_e8_af_81_e9_85_8d_e7_bd_aemongodb_ef_bc_9ax-509_e8_af_81_e4_b9_a6]

[img]: https://img-blog.csdnimg.cn/img_convert/e1408e0874c4fd5785f440dae6c2f0ef.png
[img 1]: https://mongoing.com/wp-content/uploads/2020/04/a52d057774a957f.png
[https_www.guru99.com_mongodb-authentication-kerberos.html]: https://www.guru99.com/mongodb-authentication-kerberos.html
[https_mongoing.com_archives_docs_mongodb_e5_88_9d_e5_ad_a6_e8_80_85_e6_95_99_e7_a8_8b_e4_bd_bf_e7_94_a8kerberos_e8_ba_ab_e4_bb_bd_e9_aa_8c_e8_af_81_e9_85_8d_e7_bd_aemongodb_ef_bc_9ax-509_e8_af_81_e4_b9_a6]: https://mongoing.com/archives/docs/mongodb%e5%88%9d%e5%ad%a6%e8%80%85%e6%95%99%e7%a8%8b/%e4%bd%bf%e7%94%a8kerberos%e8%ba%ab%e4%bb%bd%e9%aa%8c%e8%af%81%e9%85%8d%e7%bd%aemongodb%ef%bc%9ax-509%e8%af%81%e4%b9%a6