专栏首页运维经验分享MongoDB认证和授权

MongoDB认证和授权

MongoDB认证和授权

要想了解MongoDB的权限必须先了解如下一些关键字:

  • user: 用户,用于提供客户端连接MongoDB的认证账户;
  • role: 角色,数据权限的集合,创建用户的时候必须要指定对应的角色,否则用户无法操作数据库;
  • resource: 资源,包括database或collection 也可以是database和collection的组合; 如 {db:<db>, collection:<collection>}
  • actions: 权限操作,定义了 user 能够对 resource document 执行的操作; 如 增、删、改、查;
  • privilege: 权限,privilege 是一组 resource 和 action的组合,对资源拥有什么操作称为权限;
  • authenticationDatabase: 认证库,及创建角色或用户时所在的库; 如,在admin下创建MongoDB用户那么登录的时候需要指定认证库 admin; 在 test 库下创建的用户登录的时候指定认证库 test;

权限认证

MondoDB单实例认证

MongodDB存储所有的用户信息在admin数据库的集合system.users中,保存数据库、密码和数据库信息。MongoDB默认不启用权限认证,只要能连接到服务器,就可连接到mongod。 若要启用安全认证,需要更改配置文件Authorization,也可简写为 auth。或者在命令行启动MongoDB时加上 -auth参数启动,这样当MongoDB启动后就需要用户和密码进行认证了。

这是老版本MongoDB2.x中:

vim /etc/mongod.conf
auth = true

MongoDB3.x中:

vim /etc/mongod.conf
security:
    authorization:enabled

但是,不使用用户名和密码依然可以连接到数据库。但是将没有权限查看数据库。这里可以认证用户:

mongo
use 库(如admin)
db.auth("user","pwd")

或直接 mongo 127.0.0.1/admin -u user -p 来连接数据库。 在MongoDB授权部分,其中admin数据库中的用户名可以管理所有的数据库,其他数据库中的用户只能管理其所在的数据库。

MongoDB副本集认证

如果在副本集机制下开启了 -auth 认证,那么此时MongoDB副本集状态就会变成不健康状态,这就需要另外一个认证方式 KeyFile 。 简单来说 KeyFile 就是用在副本集群间开启认证的情况下需要的另一种认证方式,用来验证集群间身份的。

在各个节点的配置文件中加入KeyFile(600):

vim /etc/mongod.conf

security:
    authorization:enabled
    KeyFile:/path/.KeyFile

在副本集模式下,在整个配置完成前不要创建任何用户,当认证好了之后,就可以创建用户了。

角色管理

MondoDB支持基于角色的访问控制(RBAC)来管理对MongoDB系统的访问。一个用户可以被授权一个或多个角色以决定该用户对数据库资源和操作的访问权限。在权限以外,用户是无法访问系统的。 数据库角色在创建用户的role参数中设置。角色分为內建角色和自定义角色。

內建角色

MongoDB內建角色包括以下几类:

1. 数据库用户角色

read:允许用户读取指定数据库;
readWrite:允许用户读写指定数据库;

2. 数据库管理员角色

dbAdmin:允许用户进行索引创建、删除,查看统计或访问system.profile,但没有角色和用户管理的权限;
userAdmin:提供了在当前数据库中创建和修改角色和用户的能力;
dbOwner:提供对数据库执行任何操作的能力。这个角色组合了readWrite、dbAdmin和userAdmin角色授权的特权;

3. 集群管理角色

hostManager:提供监视和管理服务器的能力;
clusterManager:在集群上提供管理和监视操作。可以访问配置和本地数据库,这些数据库分别用于分片和复制;
clusterMonitor:提供对监控工具的只读访问;
clusterAdmin:提供最强大的集群管理访问(副本集、分片、主从等)。组合了clusterManager、clusterMonitor和hostManager角色的能力,还提供了dropDatabase操作;

4. 备份恢复角色

backup:提供备份数据所需的能力;
restore: 提供使用mongorestore恢复数据的能力;

5. 所有数据库角色

readAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的读权限;
readWriteAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的读写权限;
userAdminAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的userAdmin权限;
dbAdminAnyDataBase:只在admin数据库中可用,赋予用户所有数据库的adAdmin权限;

6. 超级用户角色

root:超级权限,只能针对admin库;

7. 内部角色

__system:提供对数据库中任何对象的任何操作的特权;

自定义角色

MongoDB内置角色一般来说都是够用的,但当内置角色不满足需求时就可以自定义角色了。使用 db.createRole() 方法来自定义角色。 只能在 admin库 中创建角色;

use admin
db.createRole(
    {
        role:<role_name>,    #定义角色名称
        privilege:[    #权限集
            {resource:{cluster:true, actions:[<action_name>]},
            {resource: {db:<db_name>, collection:<coll_name>},
             actions:[<action_name>]}    #定义对这个库或集合可进行的权限操作,这是一个数组
        ],
        roles:[{role:<role_name>, db:<db_name>}]    #是否继承其他的角色

角色创建完毕后 MongoDB 会在系统库 admin 下创建一个系统 collection 名叫 system.roles,里面存储的即是角色相关的信息。使用如下命令查看:

db.system.roles.find()

操作角色

查看角色

db.getRole()

角色继承

db.grantRolesToRole()    #角色授权
db.revokeRolesfromRole()    #角色移权

用户管理

创建用户

db.createUser({
    user:"xxx", pwd:"xxxx", customDate:"xxx",
    roles:[{    #指定角色名称以及认证库
        role:"xxx", db:"xxxx"
    }]
})

认证

vim /etc/mongo.conf

security:
    authorization:enabled
db.auth("user","passwd")    #在use db后
或
mongo -u user -p passwd --authenticationDatabase xxx    
#在哪个库创建的用户就需要使用哪个库进行认证

查看用户

db.getUser("user")
db.system.users.find()

删除用户

db.dropUser("user")
db.dropAllUsers()    #删除当前库所有用户

添加用户权限

db.grantRolesToUser()

修改密码

db.changeUserPassword("user","new_passwd")

关闭MongoDB,千万不要 kill -9 pid,使用 db.shutdownServer()

在MongoDB中删除库和集合并不会级联删除对应的角色和用户。因此如果想彻底删除对应的业务应该先删除库与其对应的角色和用户。

如果既想实现精细化权限控制又想简化用户管理,原则上建议只给开发创建一个账户,并且使用admin做认证库,这样可以避免清理过期业务库而导致无法登陆的问题。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • mongodb设置密码 原

    rote:dbOwner 代表数据库所有者角色,拥有最高该数据库最高权限。比如新建索引等

    拓荒者
  • MongoDB使用小结:一些常用操作分享

    本文整理了一年多以来我常用的MongoDB操作,涉及mongo-shell、pymongo,既有运维层面也有应用层面,内容有浅有深,这也就是我从零到熟练的历程。

    拓荒者
  • mongo的身份验证和授权

    刚装好的mongo,准备登陆进去测一把的,结果就给我报这个错,鄙人是新手,还不太清楚这个,现学一下~

    拓荒者
  • MongoDB用户和角色解释系列(上)

    本文讨论保护MongoDB数据库所需的访问控制。具体来说,我们可以使用这些特性来确保只有经过授权的用户才能访问数据库。每个MongoDB用户应该只能访问他们在组...

    MongoDB中文社区
  • MongoDB系列---用户及权限管理02

    2.1.2 查看admin中的用户 我们可以通过 db.system.users.find()函数来查看 admin 库中的所有用户信息...

    Arebirth
  • 获取Let's Encrypt免费TLS/SSL证书的那点事儿

    Let's Encrypt是一个于2015年三季度推出的数字证书认证机构,旨在以自动化流程消除手动创建和安装证书的复杂流程,并推广使万维网服务器的加密连接无所不...

    用户1456517
  • 研究人员发现可公开访问的包含 1100 万条记录的 MongoDB 数据库

    安全研究员Bob Diachenko发现了一个可公开访问的MongoDB数据库,其中包含43.5 GB的数据和10.999.535的Yahoo电子邮件地址。除其...

    周俊辉
  • 说说 Django 如何优雅地对接 Mongodb

    近来在研究 Django 对接 MongoDB 数据库,遇到一些坑,自己随便做下总结。

    猴哥yuri
  • 【基础必备】RAID阵列分类和进程管理常用指令

    RAID阵列概述 廉价冗余磁盘阵列 – Redundant Arrays of Inexpensive Disks – 通过硬件/软件技术,将多个较小/低速的...

    吴柯
  • Django学习数据库操作(10)

    我们学习 HTML 文件的数据返回,替换其中的内容我们是固定的格式,现在我们学习从数据库的操作,从而能让我们的页面展现更多的内容。

    萌海无涯

扫码关注云+社区

领取腾讯云代金券