O MongoDB suporta autenticação de certificado X.509 para autenticação de cliente e autenticação interna dos membros de conjuntos de réplicas e clusters fragmentados.
A autenticação de certificado x.509 requer uma conexão TLS/SSL segura.
Autoridade de certificação
Para uso em produção, seu MongoDB deployment deve usar certificados válidos gerados e assinados por uma autoridade de certificação. Você ou sua organização podem gerar e manter uma autoridade de certificação independente ou usar certificados gerados por fornecedores de TLS de terceiros. Obter e gerenciar certificados está além do escopo desta documentação.
Certificados de Client X.509
Para autenticar em servidores, os clientes podem usar certificados X.509 em vez de nomes de usuário e senhas.
Requisitos de Certificado do Cliente
Requisitos de certificado do cliente:
Uma única Autoridade de Certificação (CA) deve emitir os certificados para o cliente e para o servidor.
Cada usuário único do MongoDB deve ter um certificado exclusivo.
O certificado X.509 não pode expirar.
Os certificados do cliente devem conter os seguintes campos:
keyUsage = digitalSignature extendedKeyUsage = clientAuth Pelo menos um dos seguintes atributos do certificado do cliente deve ser diferente dos atributos dos certificados do servidor
net.tls.clusterFileenet.tls.certificateKeyFile:Organização (
O)Unidade organizacional (
OU)Componente de domínio (
DC)
Observação
Você também pode desabilitar o parâmetro
enforceUserClusterSeparationdurante a inicialização para desabilitar automaticamente a verificação doO/OU/DC. Isto permite que certificados de membro autentiquem-se como usuários armazenados no banco de banco de dados do$external.O
subjectde um certificado de cliente x.509, que contém o nome diferenciado (DN), deve ser diferente dossubjects dos certificados de membro x.509 . Se a implantação do MongoDB tivertlsX509ClusterAuthDNOverridedefinido, o assunto do certificado de cliente x.509 não deve corresponder a esse valor.Importante
Se o assunto do certificado 509 de um cliente X corresponder aos atributos
O,OUeDCdo certificado de nó X.509 (outlsX509ClusterAuthDNOverride, se definido) exatamente, a conexão do cliente será aceita, permissões completas são concedidas e uma mensagem de aviso aparece no registro.Somente certificados x509 de membros do cluster devem usar as mesmas combinações de atributos
O,OUeDC.
Usuário do MongoDB e banco de dados $external
Para autenticar com um certificado de cliente, você deve primeiro adicionar o subject do certificado de cliente como um usuário do MongoDB no banco de dados $external. O banco de dados $external é o banco de dados de autenticação do usuário.
Cada certificado exclusivo de cliente X.509 é para um usuário MongoDB . Você não pode usar um único certificado de cliente para autenticar mais de um usuário do MongoDB .
Para usar Sessões de cliente e garantias de consistência causal com usuários de autenticação $external (usuários Kerberos, LDAP ou X.509), os nomes de usuário não podem ter mais de 10k bytes.
Aviso de inicialização do certificado de conexão TLS X509
A partir do MongoDB 5.0, mongod e mongos agora emitem um aviso de inicialização quando seus certificados não incluem um atributo Subject Alternative Name.
As seguintes plataformas não suportam validação de nome comum:
iOS 13 e superior
MacOS 10.15 e superior
Vá para 1,15 e superior
Os clientes que usam essas plataformas não se autenticarão em servidores MongoDB que usam certificados X.509 cujos nomes de host são especificados por atributos CommonName.
Certificados de nó X.509
Para autenticação interna entre membros de clusters fragmentados e conjuntos de réplica, você pode utilizar certificados X.509 em vez de keyfiles.
Requisitos de certificado de membro
Quando o TLS estiver ativado, use certificados de nó para verificar a associação a conexões internas em um cluster ou em um conjunto de réplicas. Você pode configurar os caminhos dos arquivos de certificado de nó com as opções net.tls.clusterFile e net.tls.certificateKeyFile. Os nós têm os seguintes requisitos de configuração:
A configuração do membro do cluster deve especificar um valor não vazio para pelo menos um dos atributos utilizados para autenticação. Por padrão, o MongoDB aceita:
a Organização (
O)a Unidade Organizacional (
OU)o componente de domínio (
DC)
O MongoDB verifica se as entradas correspondem exatamente em todos os certificados de membro. Se você listar vários valores de
OU, todos os certificados deverão usar uma lista idêntica.Você pode especificar atributos alternativos para utilizar para autenticação configurando
net.tls.clusterAuthX509.extensionValue.A configuração do membro do cluster deve incluir o mesmo
net.tls.clusterAuthX509.attributese utilizar valores correspondentes. A ordem dos atributos não importa. O exemplo a seguir defineOeOU, mas nãoDC:net: tls: clusterAuthX509: attributes: O=MongoDB, OU=MongoDB Server
Observação
Se você definir o parâmetro enforceUserClusterSeparation como false, os seguintes comportamentos se aplicarão:
Você não pode definir
clusterAuthModepara uma opção que permita X.509 ou o servidor não iniciará. O servidor só iniciará seclusterAuthModeforkeyFile.Um cliente pode criar um usuário no banco de dados
$externalcujos atributosO/OU/DCcorrespondam aos atributos configurados do servidor para associação ao cluster.Um cliente que apresenta um certificado de membro agora pode tentar a autenticação MONGODB-X509 como um usuário no banco de dados
$external.
Para configurar o parâmetro enforceUserClusterSeparation para false, execute o seguinte comando durante a inicialização:
mongod --setParameter enforceUserClusterSeparation=false
Os certificados têm os seguintes requisitos:
Uma única CA (Certificate Authority, autoridade de certificação) deve emitir todos os certificados X.509 para os membros de um cluster fragmentado ou de um conjunto de réplicas.
Pelo menos uma das entradas de nome alternativo do assunto (
SAN) deve corresponder ao nome de host do servidor usado por outros membros do cluster. Ao compararSANs, o MongoDB pode comparar nomes DNS ou endereços IP.Se você não especificar
subjectAltName, o MongoDB compara o nome comum (CN). No entanto, esse uso do CN está obsoleto de acordo com a RFC2818Se o certificado utilizado como
certificateKeyFileincluirextendedKeyUsage, o valor deverá incluirclientAuth("Autenticação de cliente Web TLS") eserverAuth("Autenticação de servidor Web TLS").extendedKeyUsage = clientAuth, serverAuth Se o certificado utilizado como
clusterFileincluirextendedKeyUsage, o valor deverá incluirclientAuth.extendedKeyUsage = clientAuth
Configuração do MongoDB para Autenticação de Membros
Você pode usar TLS para autenticação interna entre cada membro do seu conjunto de réplicas (cada instância mongod) ou cluster fragmentado (cada instância mongod e mongos).
Para usar TLS para autenticação interna, use as seguintes configurações:
security.clusterAuthModeou--clusterAuthModedefinido comox509
Importante
Se você definir --tlsMode como um valor diferente de disabled, o MongoDB usará o certificado especificado em net.tls.certificateKeyFile para a autenticação de servidor e cliente em conexões internas do conjunto de réplicas. Essa configuração de certificado se aplica independentemente da definição de security.clusterAuthMode como X.509.
As instâncias mongod e mongos usam seus arquivos de chave de certificado para provar sua identidade aos clientes, mas os arquivos de chave de certificado também podem ser usados para autenticação de associação. Se você não especificar um arquivo de cluster, os nós utilizarão seus arquivos de chave de certificado para autenticação de associação. Especifique o arquivo de chave de certificado com net.tls.certificateKeyFile ou --tlsCertificateKeyFile.
Para usar o arquivo de chave de certificado para autenticação de cliente e autenticação de associação, o certificado deve:
Omitir
extendedKeyUsageouEspecificar
extendedKeyUsage = serverAuth, clientAuth