Mens autorisation ser på at sikre klientadgang til systemet, kontrollerer godkendelsen, hvilken type adgang klienten har i MongoDB, når de først er godkendt til systemet.
Der er forskellige godkendelsesmekanismer, nedenfor er blot nogle få af dem.
MongoDB-godkendelse ved hjælp af x.509-certifikater
Brug x.509-certifikater til at godkende klienten - Et certifikat er dybest set en betroet signatur mellem klienten og MongoDB-serveren.
Så i stedet for at indtaste et brugernavn og en adgangskode for at oprette forbindelse til serveren, sendes et certifikat mellem klienten og MongoDB-serveren. Klienten vil grundlæggende have et klientcertifikat, der sendes til serveren for at godkendes til serveren. Hvert klientcertifikat svarer til en enkelt MongoDB-bruger. Så hver bruger fra MongoDB skal have sit eget certifikat for at blive godkendt til MongoDB-serveren.
For at sikre, at dette fungerer, skal følgende trin følges;
- Et gyldigt certifikat skal købes fra en gyldig tredjepartsmyndighed og installere det på MongoDB Server.
- Klientcertifikatet skal have følgende egenskaber (En enkelt certifikatmyndighed (CA) skal udstede certifikaterne til både klienten og serveren. Klientcertifikaterne skal indeholde følgende felter - keyUsage og extendedKeyUsage.
- Hver bruger, der opretter forbindelse til MongDB-serveren, skal have et separat certifikat.
Mongodb-godkendelse med Kerberos
Trin 1) Konfigurer MongoDB med Kerberos-godkendelse på windows - Kerberos er en godkendelsesmekanisme, der bruges i store klientservermiljøer.
Det er en meget sikker mekanisme, hvor adgangskoden kun er tilladt, hvis den er krypteret. MongoDB har mulighed for at godkende mod et eksisterende Kerberos-baseret system.
Trin 2) Start mongod.exe-serverprocessen.
Trin 3) Start klientprocessen mongo.exe og opret forbindelse til MongoDB-serveren.
Trin 4) Tilføj en bruger i MongoDB, som grundlæggende er et Kerberos-hovednavn til den eksterne $ $ -database. $ Den eksterne database er en speciel database, der fortæller MongoDB at godkende denne bruger mod et Kerberos-system i stedet for sit eget interne system.
use $externaldb.createUser({user: "This email address is being protected from spambots. You need JavaScript enabled to view it.",roles:[{role: "read" , db:"Marketing"}}]}
Trin 5) Start mongod.exe med Kerberos-support ved hjælp af følgende kommando
mongod.exe -auth -setParameter authenticationMechanisms=GSSAPI
Og så kan du nu oprette forbindelse til Kerberos-brugeren og Kerberos-godkendelse til databasen.
Resumé:
- Der er forskellige godkendelsesmekanismer, der giver bedre sikkerhed i databaser. Et eksempel er brugen af certifikater til at godkende brugere i stedet for at bruge brugernavne og adgangskoder.