Valtuutuksella pyritään varmistamaan asiakkaan pääsy järjestelmään, mutta todennuksella tarkistetaan, minkä tyyppinen käyttöoikeus asiakkaalla on MongoDB: ssä, kun heidät on valtuutettu järjestelmään.
Todennusmekanismeja on useita, alla on vain muutama niistä.
MongoDB-todennus x.509-varmenteilla
Käytä x.509-varmenteita asiakkaan todentamiseen - Sertifikaatti on periaatteessa luotettu allekirjoitus asiakkaan ja MongoDB-palvelimen välillä.
Joten sen sijaan, että kirjoittaisit käyttäjätunnuksen ja salasanan yhteyden muodostamiseksi palvelimeen, asiakkaan ja MongoDB-palvelimen välillä välitetään varmenne. Asiakkaalla on pohjimmiltaan asiakassertifikaatti, joka välitetään palvelimelle todennettavaksi palvelimelle. Jokainen asiakassertifikaatti vastaa yhtä MongoDB-käyttäjää. Joten jokaisella MongoDB: n käyttäjällä on oltava oma varmenne todennettavaksi MongoDB-palvelimelle.
Tämän toiminnan varmistamiseksi on noudatettava seuraavia vaiheita;
- Voimassa oleva varmenne on ostettava voimassa olevalta kolmannen osapuolen viranomaiselta ja asennettava se MongoDB-palvelimeen.
- Asiakassertifikaatilla on oltava seuraavat ominaisuudet (Yhden varmenteen myöntäjän (CA) on annettava varmenteet sekä asiakkaalle että palvelimelle. Asiakassertifikaateissa on oltava seuraavat kentät - keyUsage ja ExtendedKeyUsage.
- Jokaisella käyttäjällä, joka muodostaa yhteyden MongDB-palvelimeen, on oltava erillinen varmenne.
Mongodb-todennus Kerberosilla
Vaihe 1) MongoDB: n määrittäminen Kerberos-todennuksella Windowsissa - Kerberos on todennusmekanismi, jota käytetään suurissa asiakas-palvelin-ympäristöissä.
Se on erittäin turvallinen mekanismi, jossa salasana on sallittu vain, jos se on salattu. No, MongoDB: llä on mahdollisuus todentaa olemassa olevaan Kerberos-pohjaiseen järjestelmään.
Vaihe 2) Käynnistä mongod.exe-palvelinprosessi.
Vaihe 3) Käynnistä mongo.exe-asiakasprosessi ja muodosta yhteys MongoDB-palvelimeen.
Vaihe 4) Lisää käyttäjä MongoDB: hen, joka on periaatteessa Kerberosin päänimi $ ulkoiseen tietokantaan. $ Ulkoinen tietokanta on erityinen tietokanta, joka kehottaa MongoDB: tä todentamaan tämän käyttäjän Kerberos-järjestelmää vastaan sen oman sisäisen järjestelmän sijaan.
use $externaldb.createUser({user: "This email address is being protected from spambots. You need JavaScript enabled to view it.",roles:[{role: "read" , db:"Marketing"}}]}
Vaihe 5) Käynnistä mongod.exe Kerberos-tuella käyttämällä seuraavaa komentoa
mongod.exe -auth -setParameter authenticationMechanisms=GSSAPI
Ja sitten voit nyt muodostaa yhteyden Kerberos-käyttäjään ja Kerberos-todennukseen tietokantaan.
Yhteenveto:
- Parannetun tietokantojen turvallisuuden takaamiseksi on olemassa useita todennusmekanismeja. Yksi esimerkki on varmenteiden käyttö käyttäjien todentamiseen käyttäjänimien ja salasanojen sijaan.