添加集群用户
搭建好mongo集群后,在开启认证之前先创建好需要的用户
mongo --port 27018 登录到集群主节点
> use admin #使用内置的admin库
> db.createUser({user:"admin",pwd:"admin",roles:[{role:"readWriteAnyDatabase",db:"admin"},
{role:"dbAdminAnyDatabase",db:"admin"},{role:"userAdminAnyDatabase",db:"admin"}]})
> db.createUser( #创建集群管理员
{
user:"cluster",
pwd:"cluster",
roles:[{role:"clusterAdmin",db:"admin"},{role:"clusterManager",db:"admin"},{role:"clusterMonitor",db:"admin"}]
}
)
> use testdb #切换到testdb数据库,不用事先创建
> db.createUser( #创建特定库的特定用户
{
user:"test",
pwd:"test",
roles:[{role:"readWrite",db:"testdb"},{role:"dbAdmin",db:"testdb"},{role:"userAdmin",db:"testdb"}]
}
)
> use admin
> db.system.users.find() #查看创建的用户
- MongoDB用户权限列表
权限 | 说明 |
---|---|
read | 允许用户读取指定数据库 |
readWrite | 允许用户读写指定数据库 |
dbAdmin | 允许用户在指定数据库中执行管理函数,如索引创建、删除,查看统计或访问system.profile |
userAdmin | 允许用户向system.user集合写入,可以在指定数据库里创建、删除和管理用户 |
clusterAdmin | 只在admin数据库中可用,赋予用户说有分片和复制集相关函数的管理权限 |
readAnyDatabase | 只在admin数据库中可用,赋予用户所有数据库的读权限 |
readWriteAnyDatabase | 只在admin数据库中可用,赋予用户所有数据库的读写权限 |
userAdminAnyDatabase | 只在admin数据库中可用,赋予用户所有数据库的userAdmin权限 |
dbAdminAnyDatabase | 只在admin数据库中可用,赋予用户所有数据库的dbAdmin权限 |
root | 只在admin数据库中可用。超级账号 |
开启用户认证
-
停止mongo集群
停止集群先停止仲裁节点,然后停止从节点最后停止主节点,以防主节点切换 -
生产keyfile
生成keyFile(keyFile的用途是作为所有mongod后台进程允许加入集群的凭证, 所有集群中的节点共用一个keyFile, 避免其他mongod加入集群
在一个节点执行
mkdir -p /opt/software/mongo/keyfile
openssl rand -base64 756 > /opt/software/mongo/keyfile/KeyFile-18.file #生成keyFile, keyFile的长度必须在6-1024个字符之间
chmod 400 /opt/software/mongo/keyfile/KeyFile-18.file #keyFile文件权限为只读
将生成的keyfile文件发送到其他节点所在服务器上
- 修改mongo配置文件
security:
authorization: enabled
keyFile: "/opt/software/mongo/keyfile/testKeyFile-18.file"
在文件末追加以上内容,重新启动集群即可