本文主要基於已經搭建好的未認證集群,結合上篇Mongodb副本集分片集群模式環境部署(https://www.cnblogs.com/woxingwoxue/p/9875878.html), MongoDb分片集群認證幾個主要流程
1.在分片集群環境中,副本集內成員之間需要用keyFile認證,mongos與配置服務器,副本集之間也要keyFile認證,集群所有mongod和mongos實例使用內容相同的keyFile文件
(1)在其中一台機器上生成keyfile
openssl rand -base64 753 > keyfile sudo chmod 400 keyfile
(2)將keyfile放置在<path-to-keyfilie>路徑
2.建立管理員賬號,賦所有權限(admin和config數據庫)
use admin db.createUser({user: "admin",pwd: "123456",roles: [ { role: "root", db: "admin" } ]}) #root所有權限 db.auth("admin","123456") use config db.createUser({user: "admin",pwd: "123456",roles: [ { role: "root", db: "admin" } ]}) #root所有權限 db.auth("admin","123456")
3.關閉所有mongod、mongos、configsvr,編輯配置文件,重新啟動每台服務器每個實例
為每一個mongod、mongos、配置服務器的實例其中的配置文件添加認證屬性或者在啟動實例時添加--authorization、--keyFile選項
[mongo@mongo3 ~]$ vi services/configsvr/mongod.conf
#mongod.conf 添加以下配置
security:
authorization: enabled #若啟動實例報錯,可刪除該行
keyFile: /home/mongo/services/keyfile
[mongo@mongo3 ~]$ ./mongod -f services/configsvr/mongod.conf
其他實例如下
[mongo@mongo3 ~]$ vi services/shard1/mongod.conf #mongod.conf 添加以下配置 security: authorization: enabled #若啟動實例報錯,可刪除該行 keyFile: /home/mongo/services/keyfile [mongo@mongo3 ~]$ ./mongod -f services/shard1/mongod.conf [mongo@mongo1 ~]$ vi services/shard2/mongod.conf #mongod.conf 添加以下配置 security: authorization: enabled #若啟動實例報錯,可刪除該行 keyFile: /home/mongo/services/keyfile [mongo@mongo1 ~]$ ./mongod -f services/shard2/mongod.conf [mongo@mongo1 ~]$ vi services/shard3/mongod.conf #mongod.conf 添加以下配置 security: authorization: enabled #若啟動實例報錯,可刪除該行 keyFile: /home/mongo/services/keyfile [mongo@mongo1 ~]$ ./mongod -f services/shard3/mongod.conf [mongo@mongo2 ~]$ vi services/mongos/mongos.conf #mongod.conf 添加以下配置 security: authorization: enabled #若啟動實例報錯,可刪除該行 keyFile: /home/mongo/services/keyfile [mongo@mongo2 ~]$ ./mongos -f services/mongos/mongos.conf
4.admin連接mongo集群
[mongo@mongo3 ~]$ ./mongo 172.16.0.192:27017/admin -u admin -p 123456
5.為指定數據庫添加訪問用戶,本文為testShard數據庫
use testShard db.createUser( { user:"test", pwd:"test", roles:[ {role:"readWrite", db:"testShard"} #讀寫權限 ] } ) db.auth("test","test")
6.test訪問mongo集群,只有testShard的數據讀寫權限
[mongo@mongo3 ~]$ ./mongo 172.16.0.192:27017/testShard -u test -p test MongoDB shell version v4.0.3 connecting to: mongodb://172.16.0.192:27017/testShard Implicit session: session { "id" : UUID("e0f8bf3f-83d7-432c-ba4c-c063d865380e") } MongoDB server version: 4.0.3
用戶和角色方法
詳細參見官方文檔:
https://docs.mongodb.com/manual/reference/method/#role-management
查看角色信息
use admin
db.getRole("rolename",{showPrivileges:true})
刪除角色
use admin
db.dropRole("rolename")
系統內置用戶角色
大部分內置的角色對所有數據庫共用,少部分僅對admin生效
數據庫用戶類
read
非系統集合有查詢權限
readWrite
非系統集合有查詢和修改權限
數據庫管理類
dbAdmin
數據庫管理相關,比如索引管理,schema管理,統計收集等,不包括用戶和角色管理
dbOwner
提供數據庫管理,讀寫權限,用戶和角色管理相關功能
userAdmin
提供數據庫用戶和角色管理相關功能
集群管理類
clusterAdmin
提供最大集群管理權限
clusterManager
提供集群管理和監控權限
clusterMonitor
提供對監控工具只讀權限
hostManager
提供監控和管理severs權限
備份和恢復類
backup
提供數據庫備份權限
restore
提供數據恢復權限
All-Database類
readAnyDatabase
提供讀取所有數據庫的權限除了local和config數據庫之外
readWriteAnyDatabase
和readAnyDatabase一樣,除了增加了寫權限
userAdminAnyDatabase
管理用戶所有數據庫權限,單個數據庫權限和userAdmin角色一樣
dbAdminAnyDatabase
提供所有用戶管理權限,除了local,config
超級用戶類
root
數據庫所有權限
內部角色
__system
提供數據庫所有對象任何操作的權限,不能分配給用戶,非常危險