Mongodb 开启用户名密码访问控制和副本集搭建

一、Mongodb命令

理解 admin 数据库

安装 MongoDB 时,会自动创建 admin 数据库,这是一个特殊数据库,提供了普通数据库没有的功能。

有些用户角色赋予用户操作多个数据库的权限,而这些角色只能在 admin 数据库中创建,要创建有权操作所有数据库的超级用户,必须将该用户加入到 admin 数据库中。检查凭证时,MongoDB 将在指定数据库和 admin 数据库中检查用户账户。

内建的角色

数据库用户角色:read、readWrite;
数据库管理角色:dbAdmin、dbOwner、userAdmin;
集群管理角色:clusterAdmin、clusterManager、clusterMonitor、hostManager;
备份恢复角色:backup、restore;
所有数据库角色:readAnyDatabase、readWriteAnyDatabase、userAdminAnyDatabase、dbAdminAnyDatabase
超级用户角色:root #这里还有几个角色间接或直接提供了系统超级用户的访问(dbOwner 、userAdmin、userAdminAnyDatabase)

内部角色:__system

角色说明:

read:允许用户读取指定数据库;
readAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的读权限;
readWrite:允许用户读写指定数据库;
readWriteAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的读写权限;
dbAdmin:允许用户在指定数据库中执行管理函数,如索引创建、删除,查看统计或访问system.profile;
dbAdminAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的dbAdmin权限;
clusterAdmin:只在admin数据库中可用,赋予用户所有分片和复制集相关函数的管理权限;
userAdmin:允许用户向system.users集合写入,可以找指定数据库里创建、删除和管理用户;
userAdminAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的userAdmin权限;
root:只在admin数据库中可用。超级账号,超级权限;

Mongodb 预定义角色

Mongodb 中预定义了一些角色,把这些角色赋予给适当的用户上,用户就只能进行角色范围内的操作。

1、数据库用户角色 (所有数据库都有)

  • read 用户可以读取当前数据库的数据
  • readWrite 用户可以读写当前数据库的数据

2、数据库管理角色(所有数据库都有)

  1. dbAdmin 管理员用户但不能对用户和角色管理授权
  2. dbOwner 数据库所有者可进行任何管理任务
  3. userAdmin 可以管理当前数据的用户和角色

3、集群管理角色(admin数据库可用)

  1. clusterAdmin 集群所有管理权限,是 clusterManager , clusterMonitor, hostManager 合集
  2. clusterManager 集群管理和监控
  3. clusterMonitor 集群监控,只读的
  4. hostManager 监控和管理服务器

4、备份和恢复角色(admin数据库可用)

  1. backup
  2. restore

5、所有数据库角色(admin数据库可用)

  1. readAnyDatabase 读取所有数据库
  2. readWriteAnyDatabase 读写所有数据库
  3. userAdminAnyDatabase 所有数据库的 userAdmin 权限
  4. dbAdminAnyDatabase 所有数据库的 dbAdmin 权限

6、超级角色(admin数据库可用)

  1. root 超级用户

7、内部角色

  • __system 所有操作权限

更多预定于角色的信息请参看:https://docs.mongodb.com/manual/core/security-built-in-roles/

主要命令

show dbs  #显示数据库列表 
show collections  #显示当前数据库中的集合(类似关系数据库中的表)
show users  #显示用户
use <db name>  #切换当前数据库,如果数据库不存在则创建数据库。 
db.help()  #显示数据库操作命令,里面有很多的命令 
db.foo.help()  #显示集合操作命令,同样有很多的命令,foo指的是当前数据库下,一个叫foo的集合,并非真正意义上的命令 
db.foo.find()  #对于当前数据库中的foo集合进行数据查找(由于没有条件,会列出所有数据) 
db.foo.find( { a : 1 } )  #对于当前数据库中的foo集合进行查找,条件是数据中有一个属性叫a,且a的值为1

MongoDB没有创建数据库的命令,但有类似的命令。 如:如果你想创建一个“myTest”的数据库,先运行use myTest命令,之后就做一些操作(如:db.createCollection(‘user’)),这样就可以创建一个名叫“myTest”的数据库。

其他命令

db.dropDatabase()  #删除当前使用数据库
db.cloneDatabase("127.0.0.1")   #将指定机器上的数据库的数据克隆到当前数据库
db.copyDatabase("mydb", "temp", "127.0.0.1")  #将本机的mydb的数据复制到temp数据库中
db.repairDatabase()  #修复当前数据库
db.getName()  #查看当前使用的数据库,也可以直接用db
db.stats()  #显示当前db状态
db.version()  #当前db版本
db.getMongo()  #查看当前db的链接机器地址
db.serverStatus()  #查看数据库服务器的状态

二、配置访问控制

1、介绍

MongoDB安装完成后,数据库 admin 中没有任何用户账户。在数据库 admin 中没有任何账户时,MongoDB 向从本地主机发起的连接提供全面的数据库管理权限。因此配置 MongoDB 新实例时,首先需要创建用户管理员账户数据库管理员账户。用户管理员账户可在 admin 和其他数据库中创建用户账户。您还需要创建一个数据库管理员账户,将其作为管理数据库、集群、复制和 MongoDB 其他方面的超级用户。

用户管理员账户和数据库管理员账户都是在数据库 admn 中创建的。在 MongoDB 服务器中启用身份验证后,要以用户管理员或数据库管理员的身份连接到服务器,必须向 admin 数据库验证身份,您还需在每个数据库中创建用户账户,让这些用户能够访问该数据库。

2、创建用户管理员账户

  • 配置访问控制的第一步是创建用户管理员账户。用户管理员应只有创建用户账户的权限,而不能管理数据库或执行其他管理任务。这确保数据库管理和用户账户管理之间有清晰的界限。

  • 在 admin 数据库中,添加一个用户并赋予userAdminAnyDatabase角色,userAdminAnyDatabase只在admin数据库中可用,赋予用户所有数据库的userAdmin权限。

例如,下面是在 admin 数据库中创建一个名为myUserAdmin用户。

[root@mbasic ~]# mongo
MongoDB shell version: 3.2.6
connecting to: test
> use admin
switched to db admin
> db.createUser(
...   {
...     user: "myUserAdmin",
...     pwd: "abc123",
...     roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]
...   }
... )
Successfully added user: {
        "user" : "myUserAdmin",
        "roles" : [
                {
                        "role" : "userAdminAnyDatabase",
                        "db" : "admin"
                }
        ]
}
> 

用户管理员应只有创建用户账户的权限,而不能管理数据库或执行其他管理任务。
要创建某个库的管理用户,必须在 admin 进行认证,给哪个库创建用户就先切换到哪个库下面。

4、开启权限验证

  • 编辑配置文件/etc/mongod.conf,修改内容如下:

    security:
    authorization: enabled
  • 重启mongodb服务

    systemctl restart mongod
  • 启用访问控制的步骤

    1, 启动 mongodb 实例,关闭 访问控制

    不带 --auth

    ./mongod -f /usr/supplywater/dataBase/mongodb/master.conf

    2, 连接上 mongodb 实例

    ./mongo --port 27017
  • 现在,客户端连接到服务器时必须提供用户名和密码。另外,从 MongoDB shell 访问 MongoDB 服务器时,如果要添加用户账户,必须执行下面的命令向数据库 admin 验证身份:
    > use admin
    switched to db admin
    > db.auth("myUserAdmin","abc123")
    1
    >

    也可以在启动 MongoDB shell 时使用选项-u-p向数据库 admin 验证身份:

    mongo -u "myUserAdmin" -p "abc123" --authenticationDatabase admin

5、创建数据库管理员账户

要创建数据库管理员,可在 MongoDB shell 中切换到数据库 admin,再使用方法createUser添加角色为readWriteAnyDatabasedbAdminAnyDatabaseclusterAdmin的用户。这让这名用户能够访问系统中的所有数据库、创建新的数据库以及管理 MongoDB 集群和副本集。

  • 创建一个名为 dbadmin 的数据库管理员:
    > use admin
    switched to db admin
    > db.createUser(
    ...    {
    ...      user: "dbadmin",
    ...      pwd: "abc123",
    ...      roles: [ "readWriteAnyDatabase", "dbAdminAnyDatabase","clusterAdmin" ]
    ...    }
    ... )
    Successfully added user: {
        "user" : "dbadmin",
        "roles" : [
                "readWriteAnyDatabase",
                "dbAdminAnyDatabase",
                "clusterAdmin"
        ]
    }

数据库管理员能够访问系统中的所有数据库、创建新的数据库以及管理 MongoDB 集群和副本集。
如果要求管理其他数据库,首先要去 admin 库里面去认证。

四、创建普通用户

一旦经过认证的用户管理员,可以使用db.createUser()去创建额外的用户。
你可以分配mongodb内置的角色或用户自定义的角色给用户。

这个 myUserAdmin 用户仅仅只有特权去管理用户和角色,如果你试图执行其他任何操作,例如在 test 数据库中的foo集合中去读数据,mongodb将返回错误。

你创建用户的数据库(这里就是test数据库)是该用户认证数据库。尽管用户认证是这个数据库,用户依然可以有其他数据库的角色。即用户认证数据库不限制用户权限。

  • 创建一个角色为readWrite的用户 test1 来管理数据库test
[root@mbasic ~]# mongo
MongoDB shell version: 3.2.6
connecting to: test
> use admin
switched to db admin
> db.auth('myUserAdmin','abc123')
1
> use test
switched to db test
> db.createUser(
...    {
...      user:"test1",
...      pwd: "test1",
...      roles: [{ role: "readWrite", db: "test"}]
...    }
...  )
Successfully added user: {
        "user" : "test1",
        "roles" : [
                {
                        "role" : "readWrite",
                        "db" : "test"
                }
        ]
}
>

验证

[root@mbasic ~]# mongo
MongoDB shell version: 3.2.6
connecting to: test
> use test
switched to db test
> db.auth('test1','test1')
1
>
  • 创建一个dmp用户,对dmp数据库只读权限。
    > use admin
    switched to db admin
    > db.auth('myUserAdmin','abc123')
    1
    > use dmp
    switched to db dmp
    >db.createUser(
    {
       user:"dmp1",
       pwd: "dmp1pass",
       roles: [{ role: "read", db: "dmp"}]
    }
    )

五、Mongodb 副本集搭建

采用Replica Set 副本集集群模式:
偶数个节点 + 一个仲裁节点 构成的Replica Set,节点拥有数据集,仲裁节点仅参与仲裁选举出Primary节点。 最小架构:1个Primary节点,1个Secondary节点,1个Arbiter节点

三台服务器:
主机(Primary): 101.37.157.51:27011
从机(Secondary): 101.37.66.61:27011
仲裁者(Arbiter): 47.111.89.220:27011

一,创建配置文件:

        systemLog:
          destination: file
          path: /usr/supplywater/dataBase/mongodb/log/mongodb.log #日志文件存放路径
          logAppend: true #使用追加的方式写日志
        storage:
          dbPath: /usr/supplywater/dataBase/mongodb/db #数据库存文件存放目录
          journal:
              enabled: true #每次写入会记录一条操作日志(通过journal可以重新构造出写入的数据)。
          wiredTiger:   #存储引擎有mmapv1、wiretiger、mongorocks
              engineConfig:
                cacheSizeGB: 2
        processManagement:
          fork: true
          pidFilePath: /usr/supplywater/dataBase/mongodb/log/mongodbpid.pid
          
        
        #security:
         # authorization: enabled
         # clusterAuthMode: keyFile
         # keyFile: /usr/local/baseDB/mongodb/keyfile/mongo.key

        net:
          bindIp: 0.0.0.0
          port: 27011
        replication:
          replSetName: "chiticsupplywater"

Secondary的配置文件:与上相同
Arbiter的配置文件:与上相同

二,启动三台服务器上的mongodb服务

[root@master bin]# ./mongod -f /usr/supplywater/dataBase/mongodb/master.conf
--出现以下内容代表启动成功 about to fork child process, waiting until server is ready for connections. forked process: 11656 child process started successfully, parent exiting

 

三、配置Replica Set

1,登录三台服务器中任意一台,登录mongodb数据库

[root@master bin]# ./mongo --port 27011
--出现以下内容代表登录成功 MongoDB shell version v4.0.0 connecting to: mongodb://127.0.0.1:27011/ MongoDB server version: 4.0.0

2, 命令行输入(注意:chiticsupplywater对应配置文件的replSetName):

> use admin
switched to db admin
--priority:  值越大,是主机             arbiterOnly:true    仲裁者
> cfg={ _id:"chiticsupplywater",members:[{_id:0,host:'101.37.157.51:27011',priority:2},{_id:1,host:'101.37.66.61:27011',priority:1},{_id:2,host:'47.111.89.220:27011',arbiterOnly:true}] };
> rs.initiate(cfg)
--出现以下内容代表成功 { "ok" : 1, "operationTime" : Timestamp(1560492018, 1), "$clusterTime" : { "clusterTime" : Timestamp(1560492018, 1), "signature" : { "hash" : BinData(0,"AAAAAAAAAAAAAAAAAAAAAAAAAAA="), "keyId" : NumberLong(0) } } }
--查看集群状态
chiticsupplywater:SECONDARY> rs.conf() { "_id" : "chiticsupplywater", "version" : 1, "protocolVersion" : NumberLong(1), "writeConcernMajorityJournalDefault" : true, "members" : [ { "_id" : 0, "host" : "101.37.157.51:27011", "arbiterOnly" : false, "buildIndexes" : true, "hidden" : false, "priority" : 2, "tags" : { }, "slaveDelay" : NumberLong(0), "votes" : 1 }, { "_id" : 1, "host" : "101.37.66.61:27011", "arbiterOnly" : false, "buildIndexes" : true, "hidden" : false, "priority" : 1, "tags" : { }, "slaveDelay" : NumberLong(0), "votes" : 1 }, { "_id" : 2, "host" : "47.111.89.220:27011", "arbiterOnly" : true, "buildIndexes" : true, "hidden" : false, "priority" : 0, "tags" : { }, "slaveDelay" : NumberLong(0), "votes" : 1 } ], "settings" : { "chainingAllowed" : true, "heartbeatIntervalMillis" : 2000, "heartbeatTimeoutSecs" : 10, "electionTimeoutMillis" : 10000, "catchUpTimeoutMillis" : -1, "catchUpTakeoverDelayMillis" : 30000, "getLastErrorModes" : { }, "getLastErrorDefaults" : { "w" : 1, "wtimeout" : 0 }, "replicaSetId" : ObjectId("5d0337f2c259a815a2289ac6") } }

 

认证模式
1,创建超级管理员账号

db.createUser(
{
user: "admin",
pwd: "chitic.2019admin",
roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]
}
)
db.auth("admin", "chitic.2019admin" )
db.createUser(
{
user: "supplywaterV1_0",
pwd: "chitic.2019",
roles: [ { role: "readWrite", db: "supplywaterV1_0" }]
}
)
db.auth("supplywaterV1_0", "chitic.2019" )


2,创建key文件
在主库上执行脚本生成key文件,然后将结拷贝到另外2个节点

[root@m1 mongodb]# cd /data/mongodb/27017/keyfile/
[root@m1 keyfile]# openssl rand -base64 756 > mongo.key
[root@m1 keyfile]# chmod 600 mongo.key # 必须修改为600权限,否则无法启动

 

3,修改配置文件
配置文件中 添加如下内容,注意不同节点的文件路径

security:
    authorization: enabled
    clusterAuthMode: keyFile
    keyFile: /data/mongodb/27017/keyfile/mongo.key

 

4,重启服务

关闭MongoDB服务: use admin
第一种: db.shutdownServer();
第二种: ./mongod --shutdown --dbpath /usr/supplywater/dataBase/mongodb/db
启动MongoDB服务: ./mongod -f /usr/local/baseDB/mongodb/master.conf
登录数据库: ./mongo --port 27072

 

posted @ 2019-10-24 13:28  高木子  阅读(5201)  评论(1编辑  收藏