MongoDB3.X单机及shading cluster集群的权限管理(基于3.4.5)

最新推荐文章于 2024-05-03 11:47:20 发布
最新推荐文章于 2024-05-03 11:47:20 发布
阅读量56 收藏
点赞数
文章标签: 数据库 shell
原文链接:http://www.cnblogs.com/gaoze/p/7418898.html
版权

mongodb集群的权限管理分为两部分,一部分是最常用的Role-Based Access Control,也就是用户名密码方式,这种验证方式一般出现在单机系统,或者集群中client端连接Mongos端;另一种是Internal Authentication.有英文基础想获取security完整信息的请点击访问官方文档

1、Role-Based Access Control

  官方文档上介绍如下:MongoDB采用基于角色的访问控制(RBAC)来管理对MongoDB系统的访问。 授予用户一个或多个角色,以确定用户对数据库资源和操作的访问。 在角色分配之外,用户无法访问系统。(不得不说。。google翻译做的不错,这一段翻出来竟然毫无违和感)。

  RBAC通过角色来赋予用户权限,在开启权限管理之前,个人建议先创建几个用户,至少要有一个拥有用户管理权限的角色存在。在mongodb中,系统自带了若干角色:

  库使用权限:read, readWrite

  库管理权限:dbAdmin, dbOwner, userAdmin

  集群管理权限:clusterAdmin, clusterManager, clusterMonitor, hostManager

  备份恢复权限:backup, restore

  全局权限:readAnyDatabase, readWriteAnyDatabase, userAdminAnyDatabase, dbAdminAnyDatabase

  超级用户:root,__system(包含所有权限官方不建议使用)

  对于使用来讲,建议首先创建一个包含全局权限的用户(dbAdmin并不能readwrite),这样在启用权限管理之后便可以通过这个用户来创建其他用户。Mongodb权限管理默认是精确到DB的,如果需要区分一个DB下的不同collection的权限需要自定义role。对用户赋予库使用和库管理权限的时候需要指定库,这样用户会获得此库下的对应权限。对mongodb来讲,在哪个库下创建的用户,就需要每次在创建的库进行认证。所以建议在创建用户的时候,库使用用户和库管理用户在指定库下创建用户。

2、Internal Authentication

  这个东西是用来在集群中进行互相认证的,每个Mongo实例在互相访问的过程中会验证彼此的权限,只有满足条件才可以进行数据读写等操作。分为两种方式,一种是Keyfiles,一种是x.509,在普通集群中Keyfiles已经足够了,而且相对比较简单,只需要在每个节点启动的时候指定相同的Keyfile就行。x.509提供了一个SSL/TLS连接,并不常用。

3、开启验证

  首先登录单机Mongod或者集群的mongos创建一个有权限的用户:

use admin
db.createUser({
... user: "gaoze",
... pwd: "gaolaoban",
... roles: [
... {role: "clusterAdmin", db: "admin"},
... {role: "readWriteAnyDatabase", db: "admin"},
... {role: "userAdminAnyDatabase", db: "admin"},
... {role: "dbAdminAnyDatabase", db: "admin"}]
... })

  我们这个帐号创建在admin库下,用户拥有所有库的读写权限和admin权限,还有用户管理权限及集群管理权限,如果是单机系统可以把clusterAdmin那个删掉。

  然后开启认证:

  RBAC的认证开启比较简单,如果是单机系统启动的时候加上--auth参数即可,如果是集群的话,在Mongos的配置里加上keyfile文件,Mongos会自动启动认证。

  Internal Authentication认证需要创建一个keyfile文件,keyfile文件只能包含base64字符集的字符,位数可以为6到1024位,官方文档给出的创建方式如下:

openssl rand -base64 756 > <path-to-keyfile>
chmod 400 <path-to-keyfile>

  如果不好用可以自己随便找一段文字,转成base64字符集,然后用下面操作生成keyfile文件,记得赋予400或者600权限,否则在启动的时候会报错keyfile too open permissions

touch keyfile
echo "keyfile内容" > keyfile

  创建完keyfile文件然后把这个文件分发到每台mongodb的机器上,然后修改配置文件(具体参见上篇构建集群的配置说明):

  shard节点:

systemLog:
   destination: file
   path: "/home/gaoze/platform/logs/mongodb/shardsvr.log"
   logAppend: true
storage:
   dbPath: "/home/gaoze/platform/data/shardData"
   journal:
      enabled: true
setParameter:
   enableLocalhostAuthBypass: 0
processManagement:
   fork: true
replication:
   replSetName: "shardsvr1"
sharding:
   clusterRole: "shardsvr"
security:
   keyFile: "/home/gaoze/platform/mongodb-3.4.5/keyfile0"
   authorization: enabled

  config节点:

systemLog:
   destination: file
   path: "/home/gaoze/platform/logs/mongodb/configsvr.log"
   logAppend: true
storage:
   dbPath: "/home/gaoze/platform/data/configData"
   journal:
      enabled: true
setParameter:
   enableLocalhostAuthBypass: 0
processManagement:
   fork: true
replication:
   replSetName: "configsvr0"
sharding:
   clusterRole: "configsvr"
security:
   keyFile: "/home/gaoze/platform/mongodb-3.4.5/keyfile0"
   authorization: enabled

  mongos(可以看到,mongos不必指定security.authorization):

systemLog:
   destination: file
   path: "/home/gaoze/platform/logs/mongodb/mongos.log"
   logAppend: true
net:
   bindIp: 192.168.2.48
   port: 27017
setParameter:
   enableLocalhostAuthBypass: 0
processManagement:
   fork: true
sharding:
   configDB: "configsvr0/192.168.2.48:27019,192.168.2.49:27019"
security:
   keyFile: "/home/cloud/platform/mongodb-3.4.5/keyfile0"

4、验证下的集群使用

  shell登录进去需要进行验证才可以使用集群,简而言之就是:

use admin
db.auth("gaoze", "gaolaoban")

  我们在其他库上创建个使用者(在目标库上创建用户!):

use test
db.createUser({user: "rw",    pwd: "1",    roles: [{role: "readWrite", db: "test"}]})

  然后我们在test库上使用新用户来进行操作:

use test
db.auth("rw", "1")

  可以试验我们的新用户是可以读写的。

  

转载于:https://www.cnblogs.com/gaoze/p/7418898.html

weixin_30621919
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
k8s 内置cluster role(集群角色) cluster-adminadmin、 edit、 view的作用范围及区别
学亮编程手记
06-27 2797
cluster-admin 超级管理员,对集群所有权限,和linux下面root一样(在部署dashboard的时候,先创建sa,然后将sa绑定到角色cluster-admin,最后获取到token,这就使用了内置的cluster-adminadmin 主要用于授权命名空间所有读写权限(针对于某个命名空间)edit 允许对命名空间大多数对象读写操作,不允许查看或者修改角色、角色绑定。view 允许对命名空间大多数对象只读权限,不允许查看角色、角色绑定和Secretview ClusterRol
Oracle Cloud Infrastructure(OCI)上的Container Engine for Kubernetes(OKE)给用户赋予cluster-admin权限
engchina的专栏
04-01 1310
详细步骤: 1,在OCI的User的User Information处获得用户的OCID信息。 2,执行 kubectl create clusterrolebinding "cluster-admin-iam-user" --clusterrole=cluster-admin --user="ocid1.user.oc1..aaaaaaaaaxxxxxxxxxxxxxxxxxxxxxxx...
linux集群管理权限,MongoDB3.X单机shading cluster集群权限管理(基于3.4.5)
weixin_39594439的博客
05-12 42
mongodb集群权限管理分为两部分,一部分是最常用的Internal Authentication.有英文基础想获取security完整信息的请点击访问1、Role-Based Access Control官方文档上介绍如下:MongoDB采用基于角色的访问控制(RBAC)来管理对MongoDB系统的访问。 授予用户一个或多个角色,以确定用户对数据库资源和操作的访问。 在角色分配之外,用户无法...
项目启动org.mongodb.driver.cluster - Exception in monitor thread while connecting to server node1:27017
zhanwuguo8346的博客
06-09 4532
2021-06-09 17:10:34,663 INFO org.mongodb.driver.cluster - Exception in monitor thread while connecting to server node1:27017 com.mongodb.MongoSocketException: node1 at com.mongodb.ServerAddress.getSocketAddresses(ServerAddress.java:211) at com.mongodb..
PHP mongodb操作类定义与用法示例【适合mongodb2.x和mongodb3.x】
10-18
主要介绍了PHP mongodb操作类定义与用法,结合实例形式分析了php封装的适合mongodb2.x和mongodb3.x版本MongoDB数据库连接、增删改查、错误处理等操作定义与使用方法,需要的朋友可以参考下
Mastering MongoDB 3.x
09-05
Mastering MongoDB 3.x: An expert’s guide to building fault-tolerant MongoDB applications MongoDB has grown to become the de facto NoSQL database with millions of users—from small startups to Fortune...
MongoDB 4.0.8 基于X.509认证的3副本复制集群【实操系列】
01-07
mongodb授权3. 修改配置4. 创建复制集5. 重启mongodb6. 测试使用ssl连接mongodb6.1 root 登陆测试6.2 普通账户登陆7. 数据备份/恢复测试7.0 错误范例7.1 数据备份7.2 数据恢复8. 测试python驱动使用ssl连接mongodb ...
mongodb3.x 版本带权限java连接
03-10
mongodb3.x 版本带权限java连接 使用的java连接jar包版本 mongo-java-driver-3.2.2.jar mongodb数据库 3.2 (如果需要) mongo-java-driver-3.2.2.jar下载地址 ...
Mastering MongoDB 4.x - Second Edition.pdf
09-17
Mastering MongoDB 4.x - Second Edition 完整版,pdf格式,全网唯一版本,欢迎下载学习
基于Springboot的旅游管理系统(有报告)。Javaee项目,springboot项目。
最新发布
XING的博客
05-03 469
基于Springboot的旅游管理系统(有报告)。Javaee项目,springboot项目。数据库作为系统数据储存平台,实现了基于B/S结构的Web系统。界面简洁,操作简单。采用M(model)V(view)C(controller)三层体系结构,通过。
报表控件Stimulsoft在JavaScript报告工具中的事件:查看器事件(上)
励志做最业余的专业博主,控件产品可以私我~
04-28 808
在本文中,我们为JS报告工具中的查看器事件提供了全面的指南,包括它们的详细描述、参数列表等一系列详细内容。
【课堂练习】
JacksonLeo的博客
04-29 465
虽然现代JVM的垃圾回收机制已经非常高效,但是在性能敏感的场合,仍然需要注意对象的创建频率。例如,在SysLogininforMapper中的deleteLogininforByIds方法,如果处理大量ID时,应考虑使用批处理技术,而不是循环单条处理。例如,在SysMenuMapper中的查询方法,如果涉及到复杂的查询条件或者大量数据的查询,应确保SQL语句的优化和索引的使用。异常处理:代码中应该有更明确的异常处理逻辑,比如使用try-catch块捕获可能的异常,并进行适当的处理,如记录日志、回滚事务等。
力扣数据库题库学习(4.28日)--1587. 银行账户概要 II
Jesse_Kyrie的博客
04-28 238
对于力扣题1587. 银行账户概要 II的解答,提供解题思路与解题方法,知识点为:1. GROUP BY 2. SUM 3. LEFT JOIN 4. HAVING
2.Neo4j的搭建启动
qq_36352889的博客
04-28 597
Graph Database 图数据库
tableau如何传参数到MySQL数据库
lcl17779740668的博客
04-28 285
tableau如何传参数到MySQL数据库
java线上问题排查之磁盘和网络查看分析(二)
wayne_youlu的博客
04-30 327
overflowed 标识全连接队列溢出的次数,最前面是0,标识没有队列溢出的情况,网络环境正常。来查看网络是否连接。如果出现下图内容,则证明网络已经连接。
openlayers加载瓦片地图并手动标记坐标点
qq_38196449的博客
04-28 397
这里面有个注释掉的方法,读者可以打开试试,其实就是标记的时候打印经纬度,一般这个值我们都用来存储数据库中。将ol.js、ol.css放在根目录下,当然还有你的瓦片地图也放在根目录下。创建一个项目,普通原生前端项目就行。marker.png是标记坐标点的。
MySQL数据库练习(6)
a1677179的博客
04-29 245
MySQL数据库练习(6)
centos mongodb3.x安装
07-28
关于在CentOS上安装MongoDB 3.x,您可以按照以下步骤进行操作: 1. 添加MongoDB的官方仓库: ``` $ sudo vi /etc/yum.repos.d/mongodb-org-3.4.repo ``` 在文件中添加以下内容: ``` [mongodb-org-3.4] name...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值