În timp ce autorizarea urmărește asigurarea accesului clientului la sistem, autentificarea verifică ce tip de acces are clientul în MongoDB, odată ce au fost autorizați în sistem.
Există diverse mecanisme de autentificare, mai jos sunt doar câteva dintre ele.
Autentificare MongoDB folosind certificate x.509
Utilizați certificate x.509 pentru a autentifica clientul - Un certificat este practic o semnătură de încredere între client și serverul MongoDB.
Deci, în loc să introduceți un nume de utilizator și o parolă pentru a vă conecta la server, un certificat este transmis între client și serverul MongoDB. Clientul va avea practic un certificat de client care va fi transmis serverului pentru autentificare în server. Fiecare certificat client corespunde unui singur utilizator MongoDB. Deci, fiecare utilizator din MongoDB trebuie să aibă propriul certificat pentru a se autentifica pe serverul MongoDB.
Pentru a vă asigura că acest lucru funcționează, trebuie parcurși următorii pași;
- Un certificat valid trebuie cumpărat de la o autoritate terță validă și instalat pe serverul MongoDB.
- Certificatul de client trebuie să aibă următoarele proprietăți (O singură autoritate de certificare (CA) trebuie să emită certificatele atât pentru client, cât și pentru server. Certificatele de client trebuie să conțină următoarele câmpuri - keyUsage și ExtendedKeyUsage.
- Fiecare utilizator care se conectează la serverul MongDB trebuie să aibă un certificat separat.
Autentificare Mongodb cu Kerberos
Pasul 1) Configurați MongoDB cu autentificarea Kerberos pe Windows - Kerberos este un mecanism de autentificare utilizat în medii mari client-server.
Este un mecanism foarte sigur în care parola este permisă numai dacă este criptată. Ei bine, MongoDB are facilitatea de a se autentifica împotriva unui sistem existent bazat pe Kerberos.
Pasul 2) Porniți procesul serverului mongod.exe.
Pasul 3) Porniți procesul client mongo.exe și conectați-vă la serverul MongoDB.
Pasul 4) Adăugați un utilizator în MongoDB, care este practic un nume principal Kerberos în baza de date $ externă. Baza de date $ externă este o bază de date specială care îi spune lui MongoDB să autentifice acest utilizator împotriva unui sistem Kerberos în locul propriului său sistem intern.
use $externaldb.createUser({user: "This email address is being protected from spambots. You need JavaScript enabled to view it.",roles:[{role: "read" , db:"Marketing"}}]}
Pasul 5) Porniți mongod.exe cu suportul Kerberos utilizând următoarea comandă
mongod.exe -auth -setParameter authenticationMechanisms=GSSAPI
Și apoi vă puteți conecta acum cu utilizatorul Kerberos și autentificarea Kerberos la baza de date.
Rezumat:
- Există diverse mecanisme de autentificare pentru a oferi o securitate mai bună în bazele de date. Un exemplu este utilizarea certificatelor pentru autentificarea utilizatorilor în loc să utilizeze nume de utilizator și parole.