概览
如果在部署了强制执行身份验证的 MongoDB 数据库中启用访问控制,会要求用户认证其身份。在连接启用了访问控制的 MongoDB 数据库时,用户只能执行他所属角色所用于的权限的相关操作。
MongoDB 支持不同的身份验证机制。
以下教程在一个独立的 mongod 实例中启用请求控制,并且使用默认的身份验证机制。
对于副本集和分片集群,你可以参考强制执行网络身份验证来开启请求控制功能。详情请参考网络身份验证章节
用户管理员
要开启请求控制,请确保在 admin 数据库中已经拥有一个 userAdmin 或者 userAdminAnyDatabase 角色的用户。这个用户可以管理用户、角色,例如:创建用户、给用户授权或者撤销角色、创建或者修改自定义角色等。
你可以在开启请求控制之前或之后创建用户。如果你在没有创建任何用户之前开启请求控制,MongoDB 抛出一个本地主机异常用于给你在 admin 数据库中创建一个用户管理员。一旦你已经创建,你需要拥有用户管理员授权才能创建其他同样的用户。
步骤
下面的步骤首先在没有开启请求控制时为 MongoDB 实例添加一个用户管理员,然后在开启请求控制。
1. 开启没有请求控制的 MongoDB 服务。
下面的例子开启一个独立的没有请求控制的 mongod 实例。
mongod --port 27017 --dbpath /data/db1
2. 连接实例
下面的例子使用 mongo 壳连接实例。
mongo --port 27017
可以适当使用额外的命令行参数去建立连接,例如 –host。
3. 创建用户管理员
在 admin 数据库中,添加一个拥有 userAdminAnyDatabase 角色的用户。下面的例子在 admin 数据库中创建 myUserAdmin 用户。
你创建用户时所在的数据库即作为改用户的认证授权数据库(此例中是 admin 数据库)。即使该用户授权给了这个数据库,这个用户还可以拥有其他数据库的角色。即用户的授权数据库不会限制用户的权限。
use admin
db.createUser(
{
user: "myUserAdmin",
pwd: "abc123",
roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]
}
)
断开 mongo 壳连接。
4. 带上请求控制参数重启 MongoDB 实例
使用命令行选项 –auth 重启 mongod 实例,如果是使用配置文件,设置 security.authorization 选项。
mongod --auth --port 27017 --dbpath /data/db1
现在连接到这个实例的客户端都必须是已授权的 MongoDB 用户。客户端也只能执行指定所属角色拥有权限的操作。
5. 使用用户管理员帐户连接和授权
如果是使用 mongo 壳,你可以:
- 通过传入用户凭证进行连接授权验证
- 不验证先连接,然后使用 db.auth() 解决授权验证问题
在连接时验证授权
在 mongo 壳中传入 -u <username>, -p <password>, –authenticationDatabase <database> 参数:
mongo --port 27017 -u "myUserAdmin" -p "abc123" --authenticationDatabase "admin"
连接后验证授权
通过 mongo 壳连接 mongod:
mongo --port 27017
切换到授权数据库(此例中是 admin),使用 db.auth(<username>, <pwd>) 方法执行授权:
use admin
db.auth("myUserAdmin", "abc123" )
6. 根据需要创建其他用户
使用用户管理员授权登入后,就可以通过 db.createUser() 来创建更多用户了。你可以赋予任何内建角色或者自定义角色给这些用户。
myUserAdmin 只有管理用户和角色的权限,如果该用户尝试执行其他操作,例如在 test 数据库中的 foo 集合执行读取操作,MongoDB 会返回一个错误。
下面的操作给 test 数据库添加一个用户 myTester,该用户在 test 数据库中拥有 readWrite 角色,在 reporting 数据库中拥有 read 角色。
你创建用户时所在的数据库即作为改用户的认证授权数据库(此例中是 admin 数据库)。即使该用户授权给了这个数据库,这个用户还可以拥有其他数据库的角色。即用户的授权数据库不会限制用户的权限。
use test
db.createUser(
{
user: "myTester",
pwd: "xyz123",
roles: [ { role: "readWrite", db: "test" },
{ role: "read", db: "reporting" } ]
}
)
7. 使用 myTester 连接和授权
在连接时验证授权
在 mongo 壳中传入 -u <username>, -p <password>, –authenticationDatabase <database> 参数:
mongo --port 27017 -u "myTester" -p "xyz123" --authenticationDatabase "test"
连接后验证授权
通过 mongo 壳连接 mongod:
mongo --port 27017
切换到授权数据库(此例中是 test),使用 db.auth(<username>, <pwd>) 方法执行授权:
use test
db.auth("myTester", "xyz123" )
往集合中插入数据
myTester 用户在 test 数据库拥有读写操作的权限(在 reporting 数据库中拥有读权限)。你可以在 test 数据库中执行下面的插入操作:
db.foo.insert( { x: 1, y: 1 } )