Ops Manager 프로젝트에 LDAP 인증 활성화

참고

MongoDB 8.0 부터 LDAP 인증 및 권한 부여 는 더 이상 사용되지 않습니다. 이 기능 은 사용할 수 있으며 MongoDB 8 의 수명 기간 동안 변경 없이 계속 작동합니다. LDAP 는 향후 주요 출시하다 에서 제거될 예정입니다.

자세한 내용은 LDAP 사용 중단을 참조하세요.

Ops Manager를 사용하면 Ops Manager 에이전트를 포함한 모든 클라이언트가 MongoDB deployment에 연결하는 데 사용하는 인증 메커니즘을 구성할 수 있습니다. 각 프로젝트에 대해 여러 인증 메커니즘을 활성화할 수 있지만 에이전트에 대해서는 하나의 메커니즘만 선택해야 합니다.

MongoDB Enterprise는 인증 요청을 LDAP(Lightweight Directory Access Protocol) 서비스로 프록시하는 기능을 지원합니다.

LDAP MongoDB Enterprise 빌드에서만 사용할 수 있습니다. MongoDB Community 빌드 에서 기존 배포 실행 경우, 먼저 배포를 MongoDB Enterprise로 업그레이드 해야 MongoDB Ops Manager 프로젝트 에 대해 LDAP 를 활성화 할 수 있습니다.

고려 사항

MongoDB Enterprise는 saslauthd 및 운영 체제 라이브러리를 통해 LDAP(Lightweight Directory Access Protocol) 서버에 대한 단순 및 SASL 바인딩을 지원합니다.

Linux용 MongoDB Enterprise는 saslauthd 를 통해 또는 MongoDB 3.4부터 운영 체제 라이브러리를 통해 LDAP 서버에 바인딩할 수 있습니다.
Windows용 MongoDB Enterprise는 버전 3.4부터 운영 체제 라이브러리를 통해 LDAP 서버에 바인딩할 수 있습니다.

MongoDB 매뉴얼의 LDAP 프록시 인증 및 LDAP 권한 부여 섹션에서 LDAP 및 MongoDB에 대한 자세한 정보를 제공합니다. LDAP 및 SASL 설정은 이 문서의 범위를 벗어납니다.

절차

이 절차에서는 자동화를 사용할 때 LDAP 인증 을 구성하고 활성화 하는 방법을 설명합니다. MongoDB Ops Manager 가 모니터링 또는 백업을 관리 하지 않는 경우 LDAP 를 사용하도록 수동으로 구성해야 합니다. LDAP LDAP MongoDB Agent 구성을 참조하세요.

참고

프로젝트의 인증 및 TLS 설정을 재설정 하려면 먼저 Ops Manager가 프로젝트에서 managed 모든 MongoDB 배포 를 관리 해제합니다.

배포서버 서버에 대한 대화 상자로 이동합니다.Security Settings

이미 표시되어 있지 않은 경우 탐색 모음의 Organizations 메뉴에서 원하는 프로젝트가 포함된 조직을 선택합니다.
이미 표시되어 있지 않은 경우 Projects 탐색 모음의 프로젝트 메뉴에서 원하는 프로젝트를 선택합니다.
아직 표시되지 않은 경우 사이드바에서 Deployment 클릭하세요.

Security 탭을 클릭합니다.
Settings 탭을 클릭합니다.
다음 작업 중 하나를 수행합니다.
- 이 프로젝트에 대한 TLS, 인증 또는 권한 부여 설정을 처음 구성하는 경우 Get Started을(를) 클릭합니다.
- 이 프로젝트에 대한 TLS 인증 또는 권한 부여 설정을 이미 구성한 경우 Edit을(를) 클릭합니다.

선택 사항: TLS 설정을 지정합니다.

필드

작업

MongoDB deployment TLS(전송 계층 보안)

이 슬라이더를 ON(으)로 전환합니다.

TLS CA 파일 경로

TLS 인증 기관 파일은 인증 기관의 루트 인증서 체인을 포함하는 .pem 형식의 인증서 파일입니다. MongoDB Agent는 동일한 인증 기관 파일을 사용하여 배포서버의 모든 항목에 연결합니다.

인증서 파일의 암호화된 비공개 키는 .pem PKCS #1 에 있어야 합니다. 형식. MongoDB Agent가 PKCS #8 을(를) 지원하지 않습니다. 형식.

MongoDB 프로세스를 실행하는 모든 호스트에서 TLS 인증 기관 파일의 파일 경로를 입력합니다.

첫 번째 상자에 모든 Linux 호스트의 파일 경로를 입력합니다.
두 번째 상자에 모든 Windows 호스트의 파일 경로를 입력합니다.

이렇게 하면 프로젝트의 MongoDB 프로세스에 대한 net.tls.CAFile 설정이 활성화됩니다.

배포서버의 각 호스트에 지정된 경로에 TLS 인증 기관이 있는지 테스트하려면 Validate을(를) 클릭하세요.

클러스터 TLS CA 파일 경로

클라이언트가 연결을 구축할 때 제시한 인증서의 유효성을 검사할 때 사용된 인증 기관의 루트 인증서 체인이 포함되어 있는 .pem 파일을 지정합니다. 상대 경로 또는 절대 경로를 사용하여 .pem 파일의 이름을 지정합니다. net.tls.clusterCAFile을 사용하려면 net.tls.CAFile 설정이 필요합니다.

net.tls.clusterCAFile 를 지정하지 않으면 클러스터 는 net.tls.CAFile 옵션에 지정된 .pem 파일 을 사용합니다.

net.tls.clusterCAFile 를 사용하면 별도의 인증 기관을 사용하여 TLS 핸드셰이크의 클라이언트-서버 및 서버-클라이언트 부분을 확인할 수 있습니다.

클라이언트 인증서 모드

TLS 지원 MongoDB deployment에 연결할 때 클라이언트 애플리케이션 또는 MongoDB Agent가 TLS 인증서를 제시해야 하는지 여부를 선택합니다. 각 MongoDB deployment는 연결을 시도할 때 이러한 클라이언트 호스트의 인증서를 확인합니다. 클라이언트 TLS 인증서를 요구하도록 선택한 경우 인증서가 유효한지 확인하세요.

허용되는 값은 다음과 같습니다.

옵션	모든 클라이언트는 MongoDB deployment에 연결할 때 유효한 TLS 인증서를 제시할 수 있습니다. `mongod` `tlsMode` 을 `None` 로 설정 하지 않은 경우 MongoDB Agents가 TLS 인증서를 사용할 수 있습니다.
필수 사항	이 프로젝트의 모든 MongoDB deployment는 TLS로 암호화된 네트워크 연결로 시작됩니다. 모든 에이전트는 TLS를 사용하여 모든 MongoDB deployment에 연결해야 합니다.

경고

LDAP(경량 디렉토리 액세스 프로토콜)와 함께 TLS(전송 계층 보안)/SSL(보안 소켓 계층) 사용 권장

기본적으로 LDAP 트래픽은 일반 텍스트로 전송됩니다. 즉, 자격 증명(사용자 이름 및 비밀번호)이 스니퍼 및 재생과 같은 기본적인 네트워크 위험에 노출됩니다. LDAPS (TLS /SSL을통한 LDAP)를 사용하여 인증을 암호화합니다. Active Directory와 같은 많은 최신 디렉토리 서비스에는 암호화된 연결이 필요합니다.

인증 메커니즘을 선택합니다.

MongoDB Deployment Authentication Mechanism 섹션에서 LDAP를 선택합니다.
적절한 유형의 LDAP 인증을 선택합니다.
중요
- LDAP 권한 부여를 사용하는 경우 Native LDAP Authentication 을(를) 선택해야 합니다.
- LDAP 권한 부여를 사용하지 않는 경우, MongoDB deployment의 $external 데이터베이스에 사용자를 추가해야 합니다. 예는 LDAP 인증을 참조하세요.

LDAP 권한 부여 설정을 구성합니다. (선택 사항)

중요

MongoDB 3.4부터는 먼저 LDAP 권한 부여를 활성화하는 한 $external 데이터베이스에 로컬 사용자 문서 없이도 LDAP, Kerberos 또는 X.509 인증서를 사용하여 사용자를 인증할 수 있습니다. 이러한 사용자가 성공적으로 인증되면 MongoDB는 LDAP 서버에 대해 쿼리를 수행하여 LDAP 사용자가 소유한 모든 그룹을 검색하고 해당 그룹을 동등한 MongoDB 역할로 변환합니다.

이러한 변경 사항을 적용 하면 MongoDB 프로세스가 롤링 방식으로 다시 시작됩니다.

이전 단계에서 Saslauthd 을(를) 선택한 경우 이 단계를 건너뜁니다.

Native LDAP Authentication 을(를) 선택한 경우 다음 단계를 완료합니다.

다음 값을 입력합니다.

설정	값
서버 URL	하나 이상의 LDAP 서버의 `hostname:port` 조합을 지정합니다.
transportSecurity	LDAP 쿼리를 암호화하려면 `TLS` 을 선택합니다. LDAP 쿼리를 암호화할 필요가 없는 경우 `None` 을 선택합니다.
시간 초과 (ms)	인증 요청이 시간 초과되기 전에 대기해야 하는 시간을 지정합니다.
Bind 메서드	`SASL` 또는 `Simple` 을 선택합니다. 중요: `Simple` 바인드 메서드를 선택하는 경우 `Simple` 바인드 메서드가 비밀번호를 일반 텍스트로 전달하므로 Transport Security 에서 `TLS` 를 선택합니다.
SASL 메커니즘	MongoDB가 LDAP 서버와 함께 사용하는 SASL 인증 서비스를 지정합니다.
사용자 쿼리(LDAP 바인드 고유 이름)	LDAP 서버에 연결할 때 MongoDB가 바인딩할 LDAP 고유 이름을 지정합니다.
쿼리 비밀번호 (LDAP 바인드 고유 이름)	LDAP 서버에 연결할 때 MongoDB가 바인딩하는 비밀번호를 지정합니다.
LDAP 사용자 캐시 무효화 간격	MongoDB가 LDAP 사용자 캐시를 플러시할 때까지 기다리는 시간을 지정합니다. 기본값은 `30` 초입니다.
사용자와 고유 이름 매핑	MongoDB가 인증된 MongoDB 사용자 이름에 대해 수행하는 정렬된 변환을 제공하는 JSON 문서 배열을 지정합니다. 그런 다음 MongoDB는 변환된 사용자 이름을 LDAP DN과 일치시킵니다.
LDAP 서버 구성 유효성 검사	LDAP 서버 구성의 유효성을 검사하려면 `ON` 을 선택하고 유효성 검사를 건너뛰려면 `OFF` 을 선택합니다. `ON` 구성이 유효하지 않으면 MongoDB deployment가 시작되지 않습니다.

LDAP Authorization 섹션에 다음 필드에 값을 입력합니다.

설정	값
LDAP Authorization	LDAP 권한 부여를 활성화하려면 ON 으)로 토글합니다.
Authorization Query Template	LDAP 사용자에 대한 LDAP 그룹 목록을 조회하려면 LDAP 쿼리 URL 템플릿을 지정하세요.
User to Distinguished Name Mapping	MongoDB가 인증된 MongoDB 사용자 이름에 대해 수행하는 정렬된 변환을 제공하는 JSON 문서 배열을 지정합니다. 그런 다음 MongoDB는 변환된 사용자 이름을 LDAP DN과 일치시킵니다.

LDAP 을(를) 사용하여 MongoDB deployment 에 연결하도록 에이전트를 구성합니다.

참고

기억

Ops Manager는 에이전트가 배포당 하나의 메커니즘 을 사용하도록 제한합니다.

Agent Auth Mechanism 섹션에서 LDAP 옵션을 선택합니다.

MongoDB Agent에 대한 자격 증명을 제공합니다.

설정	값
MongoDB Agent Username	LDAP 사용자 이름을 입력합니다.
MongoDB Agent Password	에이전트의 LDAP 사용자 이름에 대한 비밀번호를 입력합니다.
MongoDB Agent LDAP 고유 이름 그룹	LDAP 권한 부여를 활성화한 경우 MongoDB Agent 사용자가 속한 그룹의 DN 을 입력합니다.

Save Settings를 클릭합니다.

Review & Deploy 변경 사항을 검토 하려면 을 클릭합니다.

Confirm & Deploy 변경 사항을 배포 하려면 를 클릭합니다.

그렇지 않으면 Cancel을(를) 클릭하면 추가로 변경할 수 있습니다.

LDAP 그룹에 대한 MongoDB 역할을 생성합니다. (선택 사항)

LDAP 권한 부여를 활성화한 후에는 LDAP 권한 부여에 지정한 각 LDAP 그룹에 대해 사용자 지정 MongoDB 역할을 생성 해야 합니다.

돌아가기

사용자 이름/비밀번호 인증 사용

Kerberos