Authentication

在本页面

• Authentication Methods

• Authentication Mechanisms

• Internal Authentication

• 分片群集上的身份验证

身份验证是验证 Client 端身份的过程。启用访问控制(即authorization)后，MongoDB 要求所有 Client 端进行身份验证才能确定其访问权限。

尽管身份验证和authorization紧密相连，但是身份验证与授权是不同的。认证验证用户的身份；授权决定了验证用户对资源和操作的访问权限。

Authentication Methods

要以用户身份进行身份验证，您必须提供用户名，密码和与该用户关联的authentication database。

要使用mongo shell 进行身份验证，请执行以下任一操作：

• 连接到mongod或mongos实例时，请使用mongo命令行身份验证选项(--username，--password和--authenticationDatabase)，或者

• 首先连接到mongod或mongos实例，然后对authentication database运行authenticate命令或db.auth()方法。

有关使用 MongoDB 驱动程序进行身份验证的示例，请参见driver documentation。

Authentication Mechanisms

MongoDB 支持许多authentication mechanisms，Client 端可用来验证其身份。这些机制使 MongoDB 可以集成到您现有的身份验证系统中。

MongoDB 支持多种身份验证机制：

• SCRAM(默认)

• MongoDB 挑战与应对(MONGODB-CR)(自 MongoDB 3.6 起已弃用)

• x.509 证书认证.

除支持上述机制外，MongoDB Enterprise 还支持以下机制：

• LDAP 代理身份验证, and

• Kerberos authentication.

Internal Authentication

除了验证 Client 端的身份，MongoDB 还可以要求副本集和分片群集的成员验证其会员身份到其各自的副本集或分片群集。有关更多信息，请参见Internal Authentication。

分片群集上的身份验证

在分片群集中，Client 端通常直接向mongos实例进行身份验证。但是，某些维护操作可能需要直接对特定分片进行身份验证。有关身份验证和分片群集的更多信息，请参见分片群集用户。

• Users

• Add Users

• Authentication Mechanisms

• SCRAM

  • MONGODB-CR

  • x.509

• 使用 x.509 证书对 Client 端进行身份验证

• 企业认证机制

• Kerberos Authentication

• 在 Linux 上使用 Kerberos 身份验证配置 MongoDB

  • 在 Windows 上使用 Kerberos 身份验证配置 MongoDB

  • Kerberos 身份验证疑难解答

  • 使用 Kerberos 身份验证和 Active Directory 授权配置 MongoDB

  • LDAP 代理验证

• 通过 ActiveDirectory 使用 SASL 和 LDAP 进行身份验证

  • 使用 SASL 和 LDAP 与 OpenLDAP 进行身份验证

  • 通过本机 LDAP 使用 Active Directory 对用户进行身份验证和授权

  • LDAP Authorization

• Internal Authentication

• 使用密钥文件访问控制部署新副本集

  • 在副本集中实施密钥文件访问控制

  • 在不停机的情况下在副本集中实施密钥文件访问控制

  • 使用密钥文件访问控制部署分片群集

  • 在分片群集中实施密钥文件访问控制

  • 在不停机的情况下在现有分片群集中实施身份验证

  • 使用 x.509 证书进行会员身份验证

  • 从密钥文件身份验证升级到 x.509 身份验证