MongoDB LDAP and Kerberos Authentication with Cent
By Alex Komyagin at MongoDB with the help of Felderi Santiago at Centrify and Robertson Pimentel at Centrify Overview Centrify provides unified identity management solutions that result in single sign-on (SSO) for users and a simplified id
By Alex Komyagin at MongoDB with the help of Felderi Santiago at Centrify and Robertson Pimentel at Centrify
Overview
Centrify provides unified identity management solutions that result in single sign-on (SSO) for users and a simplified identity infrastructure for IT. Centrify’s Server Suite integrates Linux systems into Active Directory domains to enable centralized authentication, access control, privilege user management and auditing access for compliance needs.
Since version 2.4, MongoDB Enterprise allows authentication with Microsoft Active Directory Services using LDAP and Kerberos protocols. On Linux systems it is now possible to leverage Centrify’s Server Suite solution for integrating MongoDB with Active Directory.
The use of Centrify’s Active Directory integration with MongoDB greatly simplifies setup process and allows MongoDB to seamlessly integrate into the most complex Active Directory environments found at enterprise customer sites with hundreds or thousands of employees.
Requirements
- Existing Active Directory domain
- MongoDB Enterprise 2.4 or greater
- Centrify Suite
All further MongoDB commands in this paper are given for the current latest stable release, MongoDB 2.6.5. The Linux OS used is RHEL6.4. The Centrify Server Suite version is 2014.1.
Setup procedure
Preparing a new MongoDB Linux server
In existing Enterprise environments that are already using Centrify and MongoDB there are usually specific guidelines on setting up Linux systems. Here we will cover the most basic steps needed, that can be used as a quick reference:
1. Configure hostname and DNS resolution
For Centrify and MongoDB to function properly you must set a hostname on the system and make sure it’s configured to use the proper Active Directory-aware DNS server instance IP address. You can update the hostname using commands that resemble the following:
<b>$ nano /etc/sysconfig/network</b> HOSTNAME=lin-client.mongotest.com <b>$ reboot</b> <b>$ hostname -f</b> lin-client.mongotest.com
Next, verify the DNS settings and add additional servers, if needed:
<b>$ nano /etc/resolv.conf</b> search mongotest.com nameserver 10.10.42.250
2. Install MongoDB Enterprise
The installation process is well outlined in our Documentation. It’s recommended to turn SELinux off for this exercise:
<b>$ nano /etc/selinux/config</b> SELINUX=disabled
Since MongoDB grants user privileges through role-based authorization, there should be an LDAP and a Kerberos user created in mongodb:
<b>$ service mongod start
$ mongo
> db.getSiblingDB("$external").createUser(
{
user : "alex",
roles: [ { role: "root" , db : "admin"} ]
}
)
> db.getSiblingDB("$external").createUser(
{
user: "alex@MONGOTEST.COM",
roles: [ { role: "root", db: "admin" } ]
}
)</b>“alex” is a user listed in AD and who is a member of the “Domain Users” group and has “support” set as its Organizational Unit.
3. Install Centrify agent
Unpack the Centrify suite archive and install the centrify-dc package. Then join the server to your domain as a workstation:
<b>$ rpm -ihv centrifydc-5.2.0-rhel3-x86_64.rpm</b> <b>$ adjoin -V -w -u ldap_admin mongotest.com</b> ldap_admin@MONGOTEST.COM's password:
Here “ldap_admin” is user who is a member of the “Domain Admins” group in AD.
Setting up MongoDB with LDAP authentication using Centrify
Centrify agent manages all communications with Active Directory, and MongoDB can use the Centrify PAM module to authenticate LDAP users.
1. Configure saslauthd, which is used by MongoDB as an interface between the database and the Linux PAM system.
a. Verify that “MECH=pam” is set in /etc/sysconfig/saslauthd:
<b>$ grep ^MECH /etc/sysconfig/saslauthd</b> MECH=pam
b. Turn on the saslauthd service and ensure it is started upon reboot:
<b>$ service saslauthd start</b> Starting saslauthd: [ OK ] <b>$ chkconfig saslauthd on</b> <b>$ chkconfig --list saslauthd</b> saslauthd 0:off 1:off 2:on 3:on 4:on 5:on 6:off
2. Configure PAM to recognize the mongodb service by creating an appropriate PAM service file. We will use the sshd service file as a template, since it should’ve already been preconfigured to work with Centrify:
<b>$ cp -v /etc/pam.d/{sshd,mongodb}</b>
`/etc/pam.d/sshd' -> `/etc/pam.d/mongodb'3. Start MongoDB with LDAP authentication enabled, by adjusting the config file:
<b>$ nano /etc/mongod.conf</b> auth=true setParameter=saslauthdPath=/var/run/saslauthd/mux setParameter=authenticationMechanisms=PLAIN <b>$ service mongod restart</b>
4. Try to authenticate as the user “alex” in MongoDB:
<b>$ mongo
> db.getSiblingDB("$external").auth(
{
mechanism: "PLAIN",
user: "alex",
pwd: "xxx",
digestPassword: false
}
)</b>
1
<b>></b>Returning a value of “1” means the authentication was successful.
Setting up MongoDB with Kerberos authentication using Centrify
Centrify agent automatically updates system Kerberos configuration (the /etc/krb5.conf file), so no manual configuration is necessary. Additionally, Centrify provides means to create Active Directory service user, service principal name and keyfile directly from the Linux server, thus making automation easier.
1. Create the “lin-client-svc” user in Active Directory with SPN and UPN for the server, and export its keytab to the “mongod_lin.keytab” file:
<b>$ adkeytab -n -P mongodb/lin-client.mongotest.com@MONGOTEST.COM -U mongodb/lin-client.mongotest.com@MONGOTEST.COM -K /home/ec2-user/mongod_lin.keytab -c "OU=support" -V --user ldap_admin lin-client-svc</b> ldap_admin@MONGOTEST.COM's password: <b>$ adquery user lin-client-svc -PS</b> userPrincipalName:mongodb/lin-client.mongotest.com@MONGOTEST.COM servicePrincipalName:mongodb/lin-client.mongotest.com
Again, the “ldap_admin” is user who is a member of the “Domain Admins” group in AD. An OU “support” will be used to create the “lin-client-svc” service user.
2. Start MongoDB with Kerberos authentication enabled, by adjusting the config file. You also need to make sure that mongod listens on the interface associated with the FQDN. For this exercise, you can just configure mongod to listen on all interfaces:
<b>$ nano /etc/mongod.conf</b> # Listen to local interface only. Comment out to listen on all interfaces. #bind_ip=127.0.0.1 auth=true setParameter=authenticationMechanisms=GSSAPI <b>$ service mongod stop</b> <b>$ env KRB5_KTNAME=/home/ec2-user/mongod_lin.keytab mongod -f /etc/mongod.conf</b>
3. Try to authenticate as the user “alex@MONGOTEST.COM” in MongoDB:
<b>$ kinit alex@MONGOTEST.COM</b>
Password for alex@MONGOTEST.COM:
<b>$ mongo --host lin-client.mongotest.com
> db.getSiblingDB("$external").auth(
{
mechanism: "GSSAPI",
user: "alex@MONGOTEST.COM",
}
)</b>
1
<b>></b>The return value of “1” indicates success.
Summary and more information
MongoDB supports different options for authentication, including Kerberos and LDAP external authentication. With MongoDB and Centrify integration, it is now possible to speed up enterprise deployments of MongoDB into your existing security and Active Directory infrastructure and ensure quick day-one productivity without expending days and weeks of labor dealing with open-source tools.
About Centrify
Centrify is a leading provider of unified identity management solutions that result in single sign-on (SSO) for users and a simplified identity infrastructure for IT. Centrify’s Server Suite software integrates Linux systems into Active Directory domains to enable centralized authentication, access control, privilege user management and auditing access for compliance needs. Over the last 10 years, more than 5,000 customers around the world, including nearly half of the Fortune 50, have deployed and trusted Centrify solutions across millions of servers, workstations, and applications, and have regularly reduced their identity management and compliance costs by 50% or more.
Video tutorials
Video on how to use Centrify to integrate MongoDB with Active Directory:
Video on how to enforce PAM access rights as an additional security layer for MongoDB with Centrify:
Centrify Community post and videos showcasing Active Directory integration for MongoDB: http://community.centrify.com/t5/Standard-Edition-DirectControl/MongoDB-AD-Integration-made-easy-with-Centrify/td-p/18779
MongoDB security documentation is available here: http://docs.mongodb.org/manual/security/ MongoDB user and role management tutorials: http://docs.mongodb.org/manual/administration/security-user-role-management/
原文地址:MongoDB LDAP and Kerberos Authentication with Cent, 感谢原作者分享。
Alat AI Hot
Undresser.AI Undress
Apl berkuasa AI untuk mencipta foto bogel yang realistik
AI Clothes Remover
Alat AI dalam talian untuk mengeluarkan pakaian daripada foto.
Undress AI Tool
Gambar buka pakaian secara percuma
Clothoff.io
Penyingkiran pakaian AI
Video Face Swap
Tukar muka dalam mana-mana video dengan mudah menggunakan alat tukar muka AI percuma kami!
Artikel Panas
Alat panas
Notepad++7.3.1
Editor kod yang mudah digunakan dan percuma
SublimeText3 versi Cina
Versi Cina, sangat mudah digunakan
Hantar Studio 13.0.1
Persekitaran pembangunan bersepadu PHP yang berkuasa
Dreamweaver CS6
Alat pembangunan web visual
SublimeText3 versi Mac
Perisian penyuntingan kod peringkat Tuhan (SublimeText3)
Topik panas
1668
14
1428
52
1329
25
1273
29
1256
24
Gunakan komposer untuk menyelesaikan dilema sistem cadangan: Andres-Montanez/Cadangan-Bundle
Apr 18, 2025 am 11:48 AM
Apabila membangunkan laman web e-dagang, saya menghadapi masalah yang sukar: bagaimana menyediakan pengguna dengan cadangan produk yang diperibadikan. Pada mulanya, saya mencuba beberapa algoritma cadangan mudah, tetapi hasilnya tidak sesuai, dan kepuasan pengguna juga terjejas. Untuk meningkatkan ketepatan dan kecekapan sistem cadangan, saya memutuskan untuk menggunakan penyelesaian yang lebih profesional. Akhirnya, saya memasang Andres-Montanez/Cadangan-Bundle melalui komposer, yang bukan sahaja menyelesaikan masalah saya, tetapi juga meningkatkan prestasi sistem cadangan. Anda boleh belajar komposer melalui alamat berikut:
Kaedah Navicat untuk melihat kata laluan pangkalan data MongoDB
Apr 08, 2025 pm 09:39 PM
Tidak mustahil untuk melihat kata laluan MongoDB secara langsung melalui Navicat kerana ia disimpan sebagai nilai hash. Cara mendapatkan kata laluan yang hilang: 1. Tetapkan semula kata laluan; 2. Periksa fail konfigurasi (mungkin mengandungi nilai hash); 3. Semak Kod (boleh kata laluan Hardcode).
Cara Memilih Pangkalan Data untuk Gitlab di CentOs
Apr 14, 2025 pm 04:48 PM
Panduan Penyebaran Pangkalan Data Gitlab pada sistem CentOS Memilih pangkalan data yang betul adalah langkah utama dalam berjaya menggunakan GitLab. Gitlab serasi dengan pelbagai pangkalan data, termasuk MySQL, PostgreSQL, dan MongoDB. Artikel ini akan menerangkan secara terperinci bagaimana untuk memilih dan mengkonfigurasi pangkalan data ini. Cadangan Pemilihan Pangkalan Data MySQL: Sistem Pengurusan Pangkalan Data Relasi yang digunakan secara meluas (RDBMS), dengan prestasi yang stabil dan sesuai untuk kebanyakan senario penempatan GitLab. PostgreSQL: RDBMS sumber terbuka yang kuat, menyokong pertanyaan kompleks dan ciri -ciri canggih, sesuai untuk mengendalikan set data yang besar. MongoDB: Pangkalan Data NoSQL Popular, Bagus Mengendalikan Laut
Apakah strategi sandaran CentOS MongoDB?
Apr 14, 2025 pm 04:51 PM
Penjelasan terperinci mengenai strategi sandaran yang cekap MongoDB di bawah sistem CentOS Artikel ini akan memperkenalkan secara terperinci pelbagai strategi untuk melaksanakan sandaran MongoDB pada sistem CentOS untuk memastikan kesinambungan data dan kesinambungan perniagaan. Kami akan merangkumi sandaran manual, sandaran masa, sandaran skrip automatik, dan kaedah sandaran dalam persekitaran kontena Docker, dan menyediakan amalan terbaik untuk pengurusan fail sandaran. Sandaran Manual: Gunakan perintah Mongodump untuk melakukan sandaran penuh manual, contohnya: Mongodump-Hlocalhost: 27017-U Pengguna-P Password-D Database Data-O/Backup Direktori Perintah ini akan mengeksport data dan metadata pangkalan data yang ditentukan ke direktori sandaran yang ditentukan.
Pangkalan Data MongoDB dan Relasi: Perbandingan Komprehensif
Apr 08, 2025 pm 06:30 PM
MONGODB dan Pangkalan Data Relasi: Perbandingan mendalam Artikel ini akan meneroka dengan mendalam perbezaan antara pangkalan data NoSQL MongoDB dan pangkalan data hubungan tradisional (seperti MySQL dan SQLServer). Pangkalan data relasi menggunakan struktur jadual baris dan lajur untuk menganjurkan data, manakala MongoDB menggunakan model berorientasikan dokumen yang fleksibel untuk memenuhi keperluan aplikasi moden. Terutamanya membezakan struktur data: pangkalan data relasi menggunakan jadual skema yang telah ditetapkan untuk menyimpan data, dan hubungan antara jadual ditubuhkan melalui kunci utama dan kunci asing; MongoDB menggunakan dokumen BSON seperti JSON untuk menyimpannya dalam koleksi, dan setiap struktur dokumen boleh diubah secara bebas untuk mencapai reka bentuk bebas corak. Reka bentuk seni bina: pangkalan data relasi perlu skema tetap yang telah ditetapkan; MongoDB menyokong
Cara Menyiapkan Pengguna di MongoDB
Apr 12, 2025 am 08:51 AM
Untuk menyediakan pengguna MongoDB, ikuti langkah -langkah ini: 1. Sambungkan ke pelayan dan buat pengguna pentadbir. 2. Buat pangkalan data untuk memberikan akses pengguna. 3. Gunakan arahan CreateUser untuk membuat pengguna dan menentukan hak dan hak akses pangkalan data mereka. 4. Gunakan perintah getusers untuk memeriksa pengguna yang dibuat. 5. Secara pilihan menetapkan keizinan lain atau memberi kebenaran kepada pengguna ke koleksi tertentu.
Cara Menyulitkan Data dalam Debian Mongodb
Apr 12, 2025 pm 08:03 PM
Menyulitkan pangkalan data MongoDB pada sistem Debian memerlukan langkah berikut: Langkah 1: Pasang MongoDB terlebih dahulu, pastikan sistem Debian anda dipasang MongoDB. Jika tidak, sila rujuk kepada dokumen MongoDB rasmi untuk pemasangan: https://docs.mongodb.com/manual/tutorial/install-mongodb-on-debian/step 2: menghasilkan fail kunci penyulitan Buat fail yang mengandungi kunci penyulitan dan tetapkan kebenaran yang betul:
Apakah alat untuk disambungkan ke mongoDB
Apr 12, 2025 am 06:51 AM
Alat utama untuk menyambung ke MongoDB adalah: 1. MongoDB shell, sesuai untuk melihat data dengan cepat dan melakukan operasi mudah; 2. Pemandu bahasa pengaturcaraan (seperti Pymongo, MongoDB Java Driver, MongoDB Node.js Driver), sesuai untuk pembangunan aplikasi, tetapi anda perlu menguasai kaedah penggunaan; 3. Alat GUI (seperti Robo 3T, Kompas) menyediakan antara muka grafik untuk pemula dan tontonan data cepat. Apabila memilih alat, anda perlu mempertimbangkan senario aplikasi dan susunan teknologi, dan memberi perhatian kepada konfigurasi rentetan sambungan, pengurusan kebenaran dan pengoptimuman prestasi, seperti menggunakan kolam dan indeks sambungan.
