Iako autorizacija gleda na osiguravanje pristupa klijenta sustavu, autentifikacija provjerava koji tip pristupa klijent ima u MongoDB-u, nakon što je autoriziran u sustav.
Postoje razni mehanizmi provjere autentičnosti, u nastavku je navedeno samo nekoliko njih.
MongoDB provjera autentičnosti pomoću certifikata x.509
Upotrijebite x.509 certifikate za autentifikaciju klijenta - Certifikat je u osnovi pouzdani potpis između klijenta i MongoDB poslužitelja.
Dakle, umjesto unosa korisničkog imena i lozinke za povezivanje s poslužiteljem, certifikat se prenosi između klijenta i MongoDB poslužitelja. Klijent će u osnovi imati certifikat klijenta koji će se proslijediti poslužitelju radi provjere autentičnosti na poslužitelju. Svaki certifikat klijenta odgovara jednom korisniku MongoDB-a. Dakle, svaki korisnik iz MongoDB-a mora imati vlastiti certifikat da bi mogao provjeriti autentičnost na MongoDB poslužitelju.
Da bi se osiguralo ovo funkcioniranje, moraju se slijediti sljedeći koraci;
- Valjani certifikat mora se kupiti od valjanog nezavisnog tijela i instalirati na MongoDB poslužitelj.
- Klijentski certifikat mora imati sljedeća svojstva (Jedino tijelo za izdavanje certifikata (CA) mora izdati certifikate i za klijenta i za poslužitelj. Klijentski certifikati moraju sadržavati sljedeća polja - keyUsage i extendedKeyUsage.
- Svaki korisnik koji se poveže s MongDB poslužiteljem mora imati zaseban certifikat.
Mongodb autentifikacija s Kerberosom
Korak 1) Konfiguriranje MongoDB-a s Kerberos autentifikacijom na prozorima - Kerberos je mehanizam provjere autentičnosti koji se koristi u velikim okruženjima klijent-poslužitelj.
To je vrlo siguran mehanizam u kojem je lozinka dopuštena samo ako je šifrirana. Pa, MongoDB ima mogućnost autentifikacije protiv postojećeg sustava koji se temelji na Kerberosu.
Korak 2) Pokrenite postupak poslužitelja mongod.exe.
Korak 3) Pokrenite postupak klijenta mongo.exe i povežite se s MongoDB poslužiteljem.
Korak 4) Dodajte korisnika u MongoDB, koji je u osnovi ime principa Kerberos u $ vanjsku bazu podataka. $ External baza podataka posebna je baza podataka koja MongoDB-u govori da ovog korisnika provjerava autentičnost protiv Kerberos sustava umjesto vlastitog unutarnjeg sustava.
use $externaldb.createUser({user: "This email address is being protected from spambots. You need JavaScript enabled to view it.",roles:[{role: "read" , db:"Marketing"}}]}
Korak 5) Pokrenite mongod.exe s podrškom za Kerberos pomoću sljedeće naredbe
mongod.exe -auth -setParameter authenticationMechanisms=GSSAPI
A onda se sada možete povezati s korisnikom Kerberos i provjerom autentičnosti Kerberos u bazu podataka.
Sažetak:
- Postoje razni mehanizmi provjere autentičnosti koji pružaju bolju sigurnost u bazama podataka. Primjer je upotreba certifikata za autentifikaciju korisnika umjesto korištenja korisničkih imena i lozinki.