MongoDB啓用身份驗證

MongoDB支持各類認證機制,如下啓用獨立 mongod 實例的訪問控制，並使用默認身份驗證機制。

用戶管理員
啓用訪問控制後，請確保在 admin 數據庫中擁有 userAdmin 或 userAdminAnyDatabase 角色的用戶。該用戶能夠管理用戶和角色，例如：建立用戶，授予或撤銷用戶角色，以及建立或修改定義角色。 能夠在啓用訪問控制以前或以後建立用戶。若是在建立任何用戶以前啓用訪問控制，MongoDB會提示本地主機異常，容許在管理數據庫中建立用戶管理員。建立後，必須做爲用戶管理員進行身份驗證，以根據須要建立其餘用戶。

如下過程首先將用戶管理員添加到運行無訪問控制的 MongoDB 實例，而後啓用訪問控制。

1. 建立用戶管理員
   在管理數據庫中，添加具備 userAdminAnyDatabase 角色的用戶。如下在 admin 數據庫中建立用戶justin：

注意：建立用戶的數據庫(在此示例中爲admin)是用戶的身份驗證數據庫。用戶將對該數據庫進行身份驗證，但用戶能夠在其餘數據庫中擔任角色; 即用戶的認證數據庫不限制用戶的權限。

[root@localhost bin]# pwd
/opt/mongodb-3.4.6/bin
[root@localhost bin]# ./mongo --port 9981
MongoDB shell version v3.4.6
connecting to: mongodb://127.0.0.1:9981/
MongoDB server version: 3.4.6
Welcome to the MongoDB shell.
For interactive help, type "help".
For more comprehensive documentation, see
    http://docs.mongodb.org/
Questions? Try the support group
    http://groups.google.com/group/mongodb-user
Server has startup warnings: 
2017-12-20T00:45:44.490+0800 I CONTROL  [initandlisten] ** WARNING: You are running this process as the root user, which is not recommended.
2017-12-20T00:45:44.490+0800 I CONTROL  [initandlisten] 
> use admin
switched to db admin
> db.createUser(               #回車
... {                                    #回車，下同
... user:"justin",
... pwd:"51cto",
... roles:[{role:"userAdminAnyDatabase",db:"admin"}]
... }
... )
Successfully added user: {
    "user" : "justin",
    "roles" : [
        {
            "role" : "userAdminAnyDatabase",
            "db" : "admin"
        }
    ]
}
> exit
bye
[root@localhost bin]#

2. 修改mongodb配置文件，啓用認證

   [root@localhost bin]# cat ../conf/mongodb.conf 
   bind_ip = 0.0.0.0
   port = 9981
   fork = true
   dbpath = /opt/mongodb-3.4.6/data
   pidfilepath = /var/run/mongod.pid
   logpath = /opt/mongodb-3.4.6/logs/mongod.log
   logappend = true
   auth = true
   [root@localhost bin]# systemctl restart mongodb.service
   [root@localhost bin]#

3. 以用戶管理員身份進行鏈接和驗證
在鏈接期間進行身份驗證，使用-u <username>，-p <password>和--authenticationDatabase <database>
鏈接後驗證，切換到身份驗證數據庫(在這種狀況下爲admin)，並使用db.auth(<username>，<pwd>)方法進行身份驗證

[root@localhost bin]# ./mongo --port 9981 -u "justin" -p "51cto" --authenticationDatabase "admin"
MongoDB shell version v3.4.6
connecting to: mongodb://127.0.0.1:9981/
MongoDB server version: 3.4.6

exit
bye
[root@localhost bin]# ./mongo --port 9981
MongoDB shell version v3.4.6
connecting to: mongodb://127.0.0.1:9981/
MongoDB server version: 3.4.6
use admin
switched to db admin
db.auth("justin","51cto")
1
exit
bye
[root@localhost bin]#

4. 根據須要建立其餘用戶
當管理員用戶進行身份驗證經過以後，可以使用db.createUser()建立其餘用戶。能夠爲用戶分配任何內置角色或用戶定義的角色。

myUserAdmin用戶只具備管理用戶和角色的權限。若是使用myUserAdmin嘗試執行任何其餘操做，例如從ywbz數據庫中的foo集合讀取數據，MongoDB將返回錯誤。

如下操做將用戶 csdp添加到在ywbz數據庫中並給予ywbz數據庫的readWrite角色以及在reporting數據庫中讀取角色。

注意：建立用戶的數據庫(在本示例中爲ywbz)是該用戶的身份驗證數據庫。雖然用戶將對該數據庫進行身份驗證，但用戶能夠在其餘數據庫中擔任角色; 即用戶的認證數據庫不會限制用戶的權限。

[root@localhost bin]# ./mongo --port 9981 -u "justin" -p "51cto" --authenticationDatabase "admin"
MongoDB shell version v3.4.6
connecting to: mongodb://127.0.0.1:9981/
MongoDB server version: 3.4.6
> use ywbz
switched to db ywbz
> db.createUser(
... {
... user:"csdp",
... pwd:"51cto",
... roles:[{role:"readWrite",db:"ywbz"},      #用戶csdp在數據庫ywbz中執行讀寫操做權限
... {role:"read",db:"reporting"}]                 #用戶csdp在數據庫reporting中有讀操做權限
... }
... )
Successfully added user: {
    "user" : "csdp",
    "roles" : [
        {
            "role" : "readWrite",
            "db" : "ywbz"
        },
        {
            "role" : "read",
            "db" : "reporting"
        }
    ]
}
> exit
bye
[root@localhost bin]#