Ενώ η εξουσιοδότηση εξετάζει τη διασφάλιση της πρόσβασης του πελάτη στο σύστημα, ο έλεγχος ταυτότητας ελέγχει τον τύπο πρόσβασης που έχει ο πελάτης στο MongoDB, αφού έχουν εξουσιοδοτηθεί στο σύστημα.
Υπάρχουν διάφοροι μηχανισμοί ελέγχου ταυτότητας, παρακάτω είναι μερικοί από αυτούς.
Έλεγχος ταυτότητας MongoDB χρησιμοποιώντας πιστοποιητικά x.509
Χρησιμοποιήστε τα πιστοποιητικά x.509 για έλεγχο ταυτότητας του πελάτη - Ένα πιστοποιητικό είναι βασικά μια αξιόπιστη υπογραφή μεταξύ του πελάτη και του διακομιστή MongoDB.
Έτσι, αντί να εισαγάγετε ένα όνομα χρήστη και έναν κωδικό πρόσβασης για να συνδεθείτε με τον διακομιστή, ένα πιστοποιητικό διαβιβάζεται μεταξύ του πελάτη και του διακομιστή MongoDB. Ο πελάτης θα έχει βασικά ένα πιστοποιητικό πελάτη που θα μεταβιβάζεται στον διακομιστή για έλεγχο ταυτότητας στον διακομιστή. Κάθε πιστοποιητικό πελάτη αντιστοιχεί σε έναν μόνο χρήστη MongoDB. Έτσι, κάθε χρήστης από το MongoDB πρέπει να έχει το δικό του πιστοποιητικό για να γίνει έλεγχος ταυτότητας στον διακομιστή MongoDB.
Για να διασφαλιστεί ότι αυτό λειτουργεί, πρέπει να ακολουθηθούν τα ακόλουθα βήματα.
- Πρέπει να αγοράσετε ένα έγκυρο πιστοποιητικό από μια έγκυρη αρχή τρίτου μέρους και να το εγκαταστήσετε στον διακομιστή MongoDB.
- Το πιστοποιητικό πελάτη πρέπει να έχει τις ακόλουθες ιδιότητες (Μια μεμονωμένη αρχή έκδοσης πιστοποιητικών (CA) πρέπει να εκδίδει τα πιστοποιητικά τόσο για τον πελάτη όσο και για το διακομιστή. Τα πιστοποιητικά πελάτη πρέπει να περιέχουν τα ακόλουθα πεδία - keyUsage και extendKeyUsage.
- Κάθε χρήστης που συνδέεται με τον διακομιστή MongDB πρέπει να έχει ξεχωριστό πιστοποιητικό.
Έλεγχος ταυτότητας Mongodb με τον Kerberos
Βήμα 1) Ρύθμιση παραμέτρων MongoDB με έλεγχο ταυτότητας Kerberos σε παράθυρα - Το Kerberos είναι ένας μηχανισμός ελέγχου ταυτότητας που χρησιμοποιείται σε μεγάλα περιβάλλοντα διακομιστή-πελάτη.
Είναι ένας πολύ ασφαλής μηχανισμός όπου ο κωδικός πρόσβασης επιτρέπεται μόνο εάν είναι κρυπτογραφημένος. Λοιπόν, το MongoDB έχει τη δυνατότητα να πραγματοποιήσει έλεγχο ταυτότητας με ένα υπάρχον σύστημα που βασίζεται στο Kerberos.
Βήμα 2) Ξεκινήστε τη διαδικασία διακομιστή mongod.exe.
Βήμα 3) Ξεκινήστε τη διαδικασία πελάτη mongo.exe και συνδεθείτε στον διακομιστή MongoDB.
Βήμα 4) Προσθέστε έναν χρήστη στο MongoDB, το οποίο είναι βασικά ένα κύριο όνομα Kerberos στην εξωτερική βάση δεδομένων $. Η εξωτερική βάση δεδομένων $ είναι μια ειδική βάση δεδομένων που λέει στο MongoDB να κάνει έλεγχο ταυτότητας αυτού του χρήστη σε ένα σύστημα Kerberos αντί για το δικό του εσωτερικό σύστημα.
use $externaldb.createUser({user: "This email address is being protected from spambots. You need JavaScript enabled to view it.",roles:[{role: "read" , db:"Marketing"}}]}
Βήμα 5) Ξεκινήστε το mongod.exe με υποστήριξη Kerberos χρησιμοποιώντας την ακόλουθη εντολή
mongod.exe -auth -setParameter authenticationMechanisms=GSSAPI
Και τότε μπορείτε να συνδεθείτε με τον χρήστη Kerberos και τον έλεγχο ταυτότητας Kerberos στη βάση δεδομένων.
Περίληψη:
- Υπάρχουν διάφοροι μηχανισμοί ελέγχου ταυτότητας για καλύτερη ασφάλεια στις βάσεις δεδομένων. Ένα παράδειγμα είναι η χρήση πιστοποιητικών για έλεγχο ταυτότητας χρηστών αντί της χρήσης ονομάτων χρήστη και κωδικών πρόσβασης.
