• MongoDB官方文档中文版
• MongoDB中文手册说明
• MongoDB简介
  • MongoDB历史
  • MongoDB特点
  • MongoDB数据库的优点
  • 入门
  • 数据库和集合
    • 视图
    • 按需物化视图
    • 封顶集合
  • 文档
  • BSON类型
    • Comparison and Sort Order
    • MongoDB Extended JSON (v2)
    • MongoDB Extended JSON (v1)
• 安装 MongoDB
  • 安装MongoDB社区版
    • 在Linux上安装MongoDB社区版
    • 在macOS上安装MongoDB社区版
    • 在Windows上安装MongoDB社区版
  • 安装MongoDB企业版
    • 在Linux上安装MongoDB企业版
    • 在Mac OS安装MongoDB企业版
    • 在Windows安装MongoDB企业版
    • 使用Docker安装MongoDB企业版
  • 将社区版MongoDB升级到企业版MongoDB
  • 验证MongoDB软件包的完整性
• The mongo Shell
  • 配置mongo Shell
  • 使用 mongo Shell帮助
  • 为mongo Shell编写脚本
  • mongo Shell中的数据类型
  • mongo Shell 快速参考
• MongoDB CRUD 操作
  • 插入文档
    • 插入方法
  • 查询文档
    • 在mongo Shell中迭代游标
    • 从查询返回的项目字段
    • 查询嵌入式文档数组
    • 查询数组
    • 查询空字段或缺少字段
    • 查询嵌入/嵌套文档
  • 更新文档
    • 更新方法
    • 聚合管道更新
  • 删除文档
    • 删除方法
  • 地理空间查询
    • 用地理空间查询查找餐馆
    • GeoJSON对象
  • 批量写入操作
  • 可重试写入
  • 可重试读取
  • SQL到MongoDB的映射图表
  • 文本搜索
    • 文本索引
    • 文本索引操作
    • 集合管道中的文本索引
    • 文本索引语言
  • 读关注
    • 读关注 "local"
    • 读关注 "available"
    • 读关注 "majority"
    • 读关注 "linearizable"
    • 读关注 "snapshot"
  • 写关注
  • MongoDB CRUD 概念
    • 原子性和事务
    • 读隔离性，一致性和近因性
    • 因果一致性和读写关注
    • 分布式查询
    • 通过findAndModify进行线性化读取
    • 查询计划
    • 查询优化
    • 评估当前操作性能
    • 优化查询性能
    • 写操作性能
    • 说明结果
    • 分析查询表现
    • Tailable 游标
• 聚合
  • 聚合管道
    • 聚合管道优化
    • 聚合管道限制
    • 聚合管道和分片集合
    • 使用 Zip Code 数据集进行聚合
    • 使用用户首选项数据进行聚合
  • Map-Reduce
    • Map-Reduce 和分片集合
    • Map-Reduce 并发
    • Map-Reduce 示例
    • 执行增量 Map-Reduce
    • 对 Map Function 进行故障排除
    • 排除 Reduce Function 问题
    • Map-Reduce转换到聚合管道
  • 聚合参考
    • 聚合管道快速参考
    • 聚合命令
    • 聚合命令对比
    • 聚合表达式中的变量
    • SQL 到聚合映射图表
• 数据模型
  • 数据建模介绍
  • 模式验证
  • 数据建模概念
  • 数据模型设计
  • 运营因素和数据建模
  • 数据模型示例和模式
  • 文档之间的模型关系
    • 与嵌入式文档建立一对一关系模型
    • 与嵌入式文档建立一对多关系模型
    • 使用文档参考建立一对多关系模型
  • 模型数结构
    • 具有父级引用的模型数结构
    • 具有子级引用的模型数结构
    • 具有被继承的数据数结构
    • 具有实体化路径的模型数结构
    • 具有嵌套组的模型数结构
  • 模型特定的应用程序上下文
    • 为原子操作建模数据
    • 支持关键字搜索的建模数据
    • 模式版本化的建模数据
    • 模型货币数据
    • 模型时间数据
    • 模型计算数据
  • 数据参考模型
  • 数据库参考
• 事务
  • 驱动程序 API
  • 生产注意事项
  • 生产注意事项 (分片集群)
  • 事务操作
• 索引
  • 单字段索引
  • 复合索引
  • 多键索引
    • 多键索引范围
  • 文本索引
    • 为文本索引指定语言
    • 指定文本索引的名称
    • 用权重控制搜索结果
    • 限制扫描条目的数量
  • 通配符索引
    • 通配符索引限制
  • 2dsphere 索引
    • 查询一个2dsphere索引
  • 2d 索引
    • 创建一个2d索引
    • 查询一个2d索引
    • 2d索引内部
    • 使用球面几何计算距离
  • geoHaystack 索引
    • 创建Haystack索引
    • 查询Haystack索引
  • 哈希索引
  • 索引特性
    • TTL 索引
    • 通过设置TTL使集合中的数据过期
    • 唯一索引
    • 部分索引
    • 不分大小写索引
    • Sparse 索引
  • 在填充的集合上建立索引
    • 在副本集上建立滚动索引
    • 在分片群集上建立滚动索引
  • 索引交集
  • 管理索引
  • 衡量索引使用
  • 索引策略
    • 创建索引来支持查询
    • 使用索引对查询结果进行排序
    • 确保索引适合RAM
    • 创建以确保选择性的查询
  • 索引参考
• 安全
  • 安全检查列表
  • 启用访问控制
  • 身份验证
    • 用户数
    • 添加用户
    • 认证机构
    • SCRAM
    • x.509
      • 使用x.509证书对客户端进行身份验证
    • 企业认证机制
    • Kerberos身份验证
      • 在Linux上使用Kerberos身份验证配置MongoDB
      • 在Windows上使用Kerberos身份验证配置MongoDB
      • Kerberos身份验证疑难解答
      • 使用Kerberos身份验证和Active Directory授权配置MongoDB
    • LDAP代理身份验证
      • 使用SASL和LDAP与ActiveDirectory进行身份验证
      • 使用SASL和LDAP与OpenLDAP进行身份验证
      • 通过本机LDAP使用Active Directory对用户进行身份验证和授权
    • LDAP授权
    • 内部/会员认证
    • 使用密钥文件部署使用复制集
    • 将复制集更新为密钥文件身份验证
    • 更新密钥文件身份验证的复制集(无停机)
    • 循环为复制集设置密钥
    • 使用密钥文件认证部署分片集群
    • 将分片集群更新为密钥文件身份验证
    • 将分片集群更新为密钥文件身份验证(不停机)
    • 循环为分片集群设置密钥
    • 使用x.509证书进行会员身份验证
    • 将密钥文件身份验证升级到x.509身份验证
    • 循环更新包含新DN的x.509集群证书
  • 基于角色的访问控制
    • 内置的角色
    • 用户定义的角色
    • 管理用户和角色
    • 更改您的密码和自定义数据
    • 集合级访问控制
  • TLS / SSL(传输加密)
    • 为TLS/SSL配置mongod和mongos
    • 客户端的TLS/SSL配置
    • 升级集群以使用TLS/SSL
    • 为FIPS配置MongoDB
  • 静态加密
    • 配置加密
    • 循环加密密钥
  • 客户端字段级加密
    • 自动客户端字段级加密
    • 自动加密规则
    • 读/写支持自动字段级加密
    • 附录
    • 显式(手动)客户端字段级加密
    • 主密钥和数据加密密钥管理
    • 管理数据加密密钥
    • 限制
  • 审计
    • 配置审计过滤器
    • 配置审计
    • 系统事件审计消息
  • 网络和配置强化
    • IP绑定
    • 为MongoDB配置Linux防火墙
    • 为MongoDB配置Windows防火墙
  • 实现字段级别修订
  • 安全参考
    • system.roles集合
    • system.users集合
    • 资源文档
    • 权限操作
  • 附录
    • 附录-A-用于测试的 OpenSSl CA 证书
    • 附录-B-用于测试的OpenSSL服务器证书
    • 附录-C-用于测试的OpenSSL客户端证书
• 变更流
  • 变更流生产建议
  • 变更事件
• 复制
  • 复制集成员
    • 主复制集
    • 辅助复制集
    • 优先级为0的复制集成员
    • 隐藏复制集成员
    • 延迟复制集成员
    • 复制集仲裁器
  • 复制集日志
  • 复制集数据同步
  • 复制集部署架构
    • 三个成员复制集
    • 分布在两个或多个数据中心的复制集
  • 复制集高可用性
    • 复制集选举
    • 在复制集故障转移期间进行回滚
  • 复制集读和写语义
    • 复制集写关注
    • 读取偏好
    • 标签集
    • maxStalenessSeconds
    • 修正读选项
    • 读取偏好用例
    • 服务器选择算法
  • 复制集部署教程
    • 部署复制集
    • 部署用于测试和开发的复制集
    • 部署地图冗余的复制集
    • 将仲裁器添加到复制集
    • 将单节点转为复制集
    • 向复制集添加成员
    • 从复制集中删除成员
    • 替换复制集成员
  • 成员配置教程
    • 调整复制集成员的优先级
    • 防止从节点变成主节点
    • 配置隐藏的复制集成员
    • 配置延迟复制集成员
    • 配置无投票权限复制集成员
    • 将辅助节点转换为仲裁器
  • 复制集维护教程
    • 更改Oplog的大小
    • 对复制集成员进行维护
    • 强制成员成为主要成员
    • 重新同步复制集的成员
    • 配置复制集标签集
    • 用不可用的成员重新配置复制集
    • 管理链式复制
    • 更改复制集中的主机名
    • 配置辅助服务器的同步目标
  • 复制参考
    • 复制集配置
    • 复制集协议版本
    • 对复制集进行故障排除
    • 本地数据库
    • 复制集成员
• 分片
  • 分片键
  • 哈希分片
  • 范围分片
  • 区
  • 管理分片区
  • 按位置细分数据
  • 用于更改SLA或SLO的分层硬件
  • 按应用或客户细分数据
  • 仅插入工作负载的分布式本地写入
  • 管理分片区
  • 使用块进行数据分区
  • 在分片集群中拆分数据块
• 管理
  • 产品说明
  • 操作检查列表
  • 开发检查列表
  • 配置和维护
  • 性能
  • 数据中心意识
  • MongoDB部署中的工作负载隔离
  • 区
    • 管理分片区
    • 按位置细分数据
    • 用于更改SLA或SLO的分层硬件
    • 按应用或客户细分数据
    • 仅插入工作负载的分布式本地写入
    • 管理分片区
  • MongoDB备份方法
• 存储
  • 存储引擎
    • 日志记录
    • 管理日志记录
      • GridFS
  • FAQ:MongoDB 存储
• 参考
  • 运算符
  • 查询与映射运算符
    • 比较查询运算符
      • $eq
      • $gt
      • $gte
      • $in
      • $lt
      • $lte
      • $ne
      • $nin
    • 逻辑查询运算符
      • $and
      • $not
      • $nor
      • $or
    • 元素查询运算符
    • 评估查询运算符
    • 地理空间查询运算符
    • 数组查询运算符
    • 按位查询运算符
    • $comment
    • 映射运算符
  • 更新运算符
    • 字段更新运算符
    • 数组更新运算符
    • 按位更新运算符
  • 聚合管道阶段
  • 聚合管道操作符
    • $abs (aggregation)
    • $acos (aggregation)
    • $acosh (aggregation)
    • $add (aggregation)
    • $addToSet (aggregation)
    • $allElementsTrue (aggregation)
    • $and (aggregation)
    • $anyElementTrue (aggregation)
    • $arrayElemAt (aggregation)
    • $arrayToObject (aggregation)
    • $asin (aggregation)
    • $asinh (aggregation)
    • $atan (aggregation)
    • $atan2 (aggregation)
    • $atanh (aggregation)
    • $avg (aggregation)
    • $ceil (aggregation)
    • $cmp (aggregation)
    • $concat (aggregation)
    • $concatArrays (aggregation)
    • $cond (aggregation)
    • $convert (aggregation)
    • $cos (aggregation)
    • $dateFromParts (aggregation)
    • $dateToParts (aggregation)
    • $dateFromString (aggregation)
    • $literal (aggregation)
  • 查询修饰符
  • 数据库命令
  • 聚合命令
  • 地理空间命令
  • 查询和写操作命令
  • 查询计划缓存命令
  • 认证命令
  • 用户管理命令
  • 角色管理命令
  • 复制命令
  • 分片命令
  • 会话命令
  • 管理命令
  • 诊断命令
  • 免费监控命令
  • 系统事件审计命令
  • mongo Shell 方法
  • 集合方法
    • db.collection.aggregate()
    • db.collection.bulkWrite()
    • db.collection.copyTo()
    • db.collection.count()
    • db.collection.countDocuments()
    • db.collection.estimatedDocumentCount()
    • db.collection.createIndex()
    • db.collection.createIndexes()
    • db.collection.dataSize()
    • db.collection.deleteOne()
    • db.collection.deleteMany()
    • db.collection.distinct()
    • db.collection.drop()
    • db.collection.dropIndex()
    • db.collection.dropIndexes()
    • db.collection.ensureIndex()
    • db.collection.explain()
    • db.collection.find()
    • db.collection.findAndModify()
    • db.collection.findOne()
    • db.collection.findOneAndDelete()
    • db.collection.findOneAndReplace()
    • db.collection.findOneAndUpdate()
    • db.collection.getIndexes()
    • db.collection.getShardDistribution()
    • db.collection.getShardVersion()
    • db.collection.insert()
    • db.collection.insertOne()
    • db.collection.insertMany()
    • db.collection.isCapped()
    • db.collection.latencyStats()
    • db.collection.mapReduce()
    • db.collection.reIndex()
    • db.collection.remove()
    • db.collection.renameCollection()
    • db.collection.replaceOne()
    • db.collection.save()
    • db.collection.stats()
    • db.collection.storageSize()
    • db.collection.totalIndexSize()
    • db.collection.totalSize()
    • db.collection.update()
    • db.collection.updateOne()
    • db.collection.updateMany()
    • db.collection.watch()
    • db.collection.validate()
  • 词汇表
  • 默认的MongoDB端口
  • 默认的MongoDB读/写关注
  • 服务器会话
• MongoDB驱动
  • MongoDB的Scala驱动
• FAQ
  • FAQ: MongoDB基础知识
  • FAQ: 索引
  • FAQ: 并发
  • FAQ: MongoDB 分片
  • FAQ: 复制和副本集
  • FAQ: MongoDB 存储
  • FAQ: MongoDB 诊断
• 联系我们
  • 锦木信息
  • 加入汉化小组
  • 项目负责人-杨帅
• 更多资料
  • [快学Mongo]
  • [Mongo问题讨论区]
  • [Mongo 驱动使用手册]
• 本书使用 GitBook 发布

启用访问控制

启用访问控制

在页面上

• 概述
• 用户管理员
• 使用过程
• 其他注意事项

概述

在MongoDB部署时启用访问控制可以加强身份验证，要求用户表明自己的身份。当访问一个在部署时开启了访问控制的MongoDB时，用户只能执行由其角色决定的操作。

下面的教程在一个独立的mongod实例上启用了访问控制并且使用默认的身份验证机制。对于所有支持的身份验证机制，请参阅身份验证机制。

用户管理员

启用访问控制时，确认你已经有一个具有userAdmin或者userAdminAnyDatabase角色的用户在admin数据库中。这个用户能管理用户和角色，例如：创建用户、授予或者撤销用户的角色、创建或者修改角色。

配置过程

下面的过程首先将一个管理员用户添加到一个运行时没有开启访问控制的MongoDB实例中，然后启用访问控制。

说明：

这个示例的MongoDB实例，使用27017端口和/var/lib/mongodb目录作为数据目录。这个示例中假设存在/var/lib/mongodb这个数据目录。可以根据需要指定不同的数据目录。

1 没开启访问控制时启动MongoDB

没开启访问控制时启动独立的mongod实例。

例如，打开终端并发出以下命令：

mongod --port 27017 --dbpath /var/lib/mongodb

2 连接这个实例

例如，打开一个新的终端并且使用mongo shell连接到mongod实例：

mongo --port

适当地指定其他的命令行选项，将mongo shell 连接到你部署的mongod 实例，诸如 —host。

3 创建一个用户管理员

通过mongo shell 在admin数据库中增加一个有userAdminAnyDatabase 角色的用户。包括此用户需要的其他角色。例如，下面在admin数据库中创建用户myUserAdmin，此用户有userAdminAnyDatabase和readWriteAnyDatabase角色。

提示：

mongo shell 从4.2版本开始，你可以结合使用passwordPrompt()方法和各种用户身份认证/管理方法/命令来提示输入密码，而不是直接在方法/命令调用中指定密码。然而，你仍然可以像早期版本的mongo shell一样直接指定密码。

use admin
db.creatUser(
    {
        user: "myUserAdmin",
        pwd: passwordPrompt, // 或者输入明文密码
        roles: [ { role: "userAdminAnyDatabase", db: "admin" }, "readWriteAnyDatabase" ]
    }
)

注解：

你在其中创建用户的数据库（在这个示例中是 admin）就是这个用户的身份认证数据库。尽管用户将向此数据库进行身份认证，但用户可以在其他数据库中具有角色；即用户的身份认证数据库不会限制用户的权限。

4 开启访问控制后重启MongoDB实例

a. 关闭mongod 实例。例如，通过mongo shell 输入下面的命令：

db.adminCommand({shutdown: 1})

b.退出mongo shell。

c.开启访问控制后启动mongod

• 如果你从命令行启动mongod，则在命令行选项中增加 —auth：

mongod --auth --port 27017 --dbpath /var/lib/mongodb

• 如果你使用配置文件启动mongod，则在配置文件中增加security.authorization设置：

security:
    authorization: enabled

连接到此实例的客户端现在必须使用MongoDB的用户来认证自己。客户端只能执行其使用的MongoDB 用户所具有的角色指定的操作。

5 连接并作为用户管理员进行身份认证

使用mongo shell，你可以：

• 连接时直接使用用户凭证来通过身份认证，或者
• 连接时先不进行身份认证，连接后使用db.auth()方法进行身份认证

在连接时进行身份认证

开启mongo shell时，使用选项：-u 、-p 和 —authenticationDatabase 命令行选项。

mongo --port 27017 -u "myUserAdmin" --authenticationDatabase "admin" -p

当提示时输入你的密码，在本示例中是：adb123。

在连接后进行身份认证

连接mongo shell到mongod：

mongo --port 27017

在这个mongo shell 中，切换到认证数据库（在这个例子中是：admin），然后使用 db.auth(, )方法进行身份认证。

use admin

db.auth("myUserAdmin",  "abc123")

6 根据你的部署需要创建其他用户

一旦身份验证为用户管理员，就能使用db.createUser()来创建其他用户。你可以将任务内置角色或用户自定义的角色分配给用户。

下面的操作将用户myTester添加到test数据库，该用户在test数据库具有readWrite角色，在reporting 数据库具有read角色。

use test
db.createUser(
  {
    user: "myTester",
    pwd: "xyz123",
    roles: [ { role: "readWrite", db: "test" },
             { role: "read", db: "reporting" } ]
  }
)

说明：

你在其中创建用户的数据库（在这个示例中是test）就是这个用户的身份认证数据库。虽然用户将在此数据库进行身份认证，但用户可以具有其他数据库的角色；即用户的身份认证数据库不限制用户的权限。

执行完上面操作即创建完其他用户之后，断开和mongo shell 的连接。

7 连接到实例并且使用myTester用户进行身份验证。

将用户myUserAdmin从mongo shell断开连接后，使用myTester用户重连时，你可以：

• 连接时直接使用用户凭证来通过身份验证，或者
• 连接时先不进行身份认证，连接后使用db.auth()方法进行身份认证

在连接期进行身份验证

开启mongo shell时，使用选项：-u 、-p 和 —authenticationDatabase 命令行选项。

mongo --port 27017 -u "myTester" --authenticationDatabase "test" -p

当提示时输入你的密码，在本示例中是：xyz123。

连接后进行身份验证

连接mongo shell到mongod：

mongo --port 27017

在这个mongo shell 中，切换到认证数据库（在这个例子中是：admin），然后使用 db.auth(, )方法进行身份认证。

use test

db.auth("myTester",  "xyz123")

8 使用用户myTester插入一个文档

作为用户myTester，你有在test数据库读写的权限和在reporting数据库读的权限。一旦使用myTester用户进行身份认证通过后，就可以在test数据库中插入一个文档到集合里面。例如，你可以在test数据库中做如下的插入操作：

db.foo.insert( { x: 1, y: 1 } )

也可以参阅：管理用户和角色.

其他的注意事项

副本集和分片集群

副本集和分片集群开启访问控制后，要求成员之间进行内部身份认证。更多详情，请参阅 内部身份认证.。

本地主机Localhost异常

你可以在启动访问控制之前或之后创建用户。如果你在创建用户之前开启了访问控制，MongoDB提供了一个localhost 异常，它允许你在admin数据库创建一个用户管理员。创建之后，你必须使用这个用户管理员进行身份认证后，才能根据需要创建其他用户。

原文链接：https://docs.mongodb.com/manual/tutorial/enable-authentication/

译者：傅立

Copyright © 上海锦木信息技术有限公司 all right reserved，由 MongoDB汉化小组 提供技术支持文件修订时间： 2020-10-11 20:53:05

results matching ""

No results matching ""