MongoDB 3.0+ 安全权限访问控制
官方文档:
https://docs.mongodb.com/manual/security/
没有安全认证时,进行用户权限管理
如何mongod实例运行没有访问控制之前,增加用户管理员??
1. 启动没有访问控制 MongoDB服务
例如,以下启动mongod实例没有访问控制。
sudo service mongod start
2. 连接到实例
mongo --port 27017
指定额外的命令行选项来连接Mongo shell到部署Mongodb服务器, 如--host
3. 创建的用户管理员
添加一个userAdminAnyDatabase角色的用户。例如,下面的myuseradmin创建用户myUserAdmin 在admin数据库:
use admin
db.createUser(
{
user: "myUserAdmin",
pwd: "abc123",
roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]
}
)
4. 重新启动MongoDB实例,并启用访问控制。
重新启动mongod实例,如果使用配置文件的设置,security.authorization
sudo vi /etc/mongod.conf
修改内容:
security:
authorization: enabled
注意:keys and values之间一定要加空格, 否则解析会报错
重启服务
sudo service mongod start
5. 用户管理员身份验证
- 创建连接mongo shell 时进行授权,指定
-u <username>, -p <password>, and the --authenticationDatabase <database>mongo --port 27017 -u "myUserAdmin" -p "abc123" --authenticationDatabase "admin" - 或者 mongo shell连接时不认证,使用
db.auth()授权use admin db.auth("myUserAdmin", "abc123" )
服务器已开启认证后,如何创建用户管理员
首先进行访问控制,然后使用localhost exception添加用户管理员
1. 启动MongoDB实例的访问控制
启动mongod实例 AUTH命令行选项,如果使用配置文件的设置,security.authorization。
sudo service mongod start
2. 通过localhost exception连接MongoDB实例
添加第一个用户, 使用Localhost Exception,连接一个mongod实例。运行Mongo shell和mongod实例必须来自同一主机
Localhost Exception 允许启用访问控制并创建第一个用户在系统中
3.同上创建用户方式相同,不再赘述
普通用户安全访问权限
1. 启动MongoDB:
service mongod start
2. 再次打开 mongo shell:
mongo --port 27017 -u "myUserAdmin" -p "abc123" --authenticationDatabase "admin"
或者
mongo
use admin
db.auth("myUserAdmin", "abc123" )
此时
show collections
报错
2015-03-17T10:15:56.011+0800 EQUERYError: listCollections failed: {
"ok" : 0,
"errmsg" : "not authorized on admin to execute command { listCollections: 1.0 }",
"code" : 13
}
at Error (<anonymous>)
at DB._getCollectionInfosCommand (src/mongo/shell/db.js:643:15)
at DB.getCollectionInfos (src/mongo/shell/db.js:655:20)
at DB.getCollectionNames (src/mongo/shell/db.js:666:17)
at shellHelper.show (src/mongo/shell/utils.js:625:12)
at shellHelper (src/mongo/shell/utils.js:524:36)
at (shellhelp2):1:1 at src/mongo/shell/db.js:643
因为,用户myUserAdmin只有用户管理的权限。
3. 创建用户,用户都跟着数据库走
use test
db.createUser(
{
user: "test1",
pwd: "test1",
roles: [
{ role: "readWrite", db: "test" }
]
}
)
4. 查看刚刚创建的用户
show users
结果
{
"_id" : "test.test1",
"user" : "test1",
"db" : "test",
"roles" : [
{
"role" : "readWrite",
"db" : "test"
}
]
}
5. 查看整个mongoDB全部的用户
use admin
db.system.users.find()
> db.system.users.find().pretty()
{
"_id" : "admin.myUserAdmin",
"user" : "myUserAdmin",
"db" : "admin",
"credentials" : {
"SCRAM-SHA-1" : {
"iterationCount" : 10000,
"salt" : "4DvAj1iKzHkAocxvLSHIiw==",
"storedKey" : "UIyGAiDpVtedBo2COQu77auhLic=",
"serverKey" : "Nyeq9uCtmEEF5bUxXw3Rf7ZKMvw="
}
},
"roles" : [
{
"role" : "userAdminAnyDatabase",
"db" : "admin"
}
]
}
{
"_id" : "test.test1",
"user" : "test1",
"db" : "test",
"credentials" : {
"SCRAM-SHA-1" : {
"iterationCount" : 10000,
"salt" : "d9KsgiwkupQS3R4GULhtoQ==",
"storedKey" : "q0kNcliYpON03zNv9BeeQ1Z9BrE=",
"serverKey" : "Hw1CypmMNaJI53bbelJtQIACgkA="
}
},
"roles" : [
{
"role" : "readWrite",
"db" : "test"
}
]
}
>
6. 创建完毕,验证一下:
> use test
> db.auth('test1','test1')
1
> show collections
ypmlist
修改权限
使用updateuser()方法语法以下:
db.updateUser(
"<username>",
{
customData : { <any information> },
roles : [
{ role: "<role>", db: "<database>" } | "<role>",
...
],
pwd: "<cleartext password>"
},
writeConcern: { <write concern> }
)
| Parameter | Type | Description |
|---|---|---|
| username | string | 要更新用户名 |
| update | document | 替换用户数据的文档。此数据完全取代了用户的相应数据。 |
| writeConcern | document | 可选,写操作级别 |
| Field | Type | Description |
|---|---|---|
| customData | document | 可选。任意信息。 |
| roles | array | 可选。授予用户的角色。对角色数组覆盖以前的数组的值更新 |
| pwd | string | 可选。用户密码 |
修改权限操作
> use admin
switched to db admin
> db.auth("myUserAdmin", "abc123" ) #需要使用管理员权限修改用户信息
1
use test
db.updateUser(
"test1",
{
pwd: "itcast",
customData: { title: "Senior Manager" },
"roles" : [
{
"role" : "readWrite",
"db" : "test"
},
{
"role" : "readWrite",
"db" : "example"
}
]
}
)
</div>
then> use admin
switched to db admin
> db.auth("myUserAdmin", "abc123" )
1
> db.system.users.find().pretty()
{
"_id" : "admin.myUserAdmin",
"user" : "myUserAdmin",
"db" : "admin",
"credentials" : {
"SCRAM-SHA-1" : {
"iterationCount" : 10000,
"salt" : "4DvAj1iKzHkAocxvLSHIiw==",
"storedKey" : "UIyGAiDpVtedBo2COQu77auhLic=",
"serverKey" : "Nyeq9uCtmEEF5bUxXw3Rf7ZKMvw="
}
},
"roles" : [
{
"role" : "userAdminAnyDatabase",
"db" : "admin"
}
]
}
{
"_id" : "test.test1",
"user" : "test1",
"db" : "test",
"credentials" : {
"SCRAM-SHA-1" : {
"iterationCount" : 10000,
"salt" : "yTq8U8G5VjGa02iBj4LqhQ==",
"storedKey" : "wGK5QGAsYrSGaGcVW4rFQlLrbvk=",
"serverKey" : "j/oSYGCF2+oG3SmoiHweF5xYzyw="
}
},
"roles" : [
{
"role" : "readWrite",
"db" : "test"
},
{
"role" : "readWrite",
"db" : "example"
}
],
"customData" : {
"title" : "Senior Manager"
}
}
>
验证结果:
> use admin
switched to db admin
> db.auth('test1','itcast')
Error: Authentication failed.
0
> use test
switched to db test
> db.auth('test1','itcast')
1
> use example
switched to db example
> show collections
col
itcast
mycol
总结:用户信息存放在 第一次保存认证数据库users表里面
比如说:test1用户能够访问example、test数据库;但是用户信息存放在test的数据库
超级用户
use admin
db.createUser(
{
user: "itcast",
pwd: "itcast",
roles: [ { role: "root", db: "admin" } ]
}
)
以下是系统默认角色
Read:允许用户读取指定数据库
readWrite:允许用户读写指定数据库
dbAdmin:允许用户在指定数据库中执行管理函数,如索引创建、删除,查看统计或访问system.profile
userAdmin:允许用户向system.users集合写入,可以找指定数据库里创建、删除和管理用户
clusterAdmin:只在admin数据库中可用,赋予用户所有分片和复制集相关函数的管理权限。
readAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的读权限
readWriteAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的读写权限
userAdminAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的userAdmin权限
dbAdminAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的dbAdmin权限。
root:只在admin数据库中可用。超级账号,超级权限