MongoDB日志报错not authorized on admin to execute command

1. 报错本质

该报错表示：当前执行命令的 MongoDB 用户，在admin数据库（MongoDB 的系统管理数据库）中没有被授予执行该命令所需的权限，MongoDB 的访问控制（认证）机制拒绝了此次操作。

2. 常见触发原因

原因类型	具体说明
权限缺失	用户仅被授予业务库（如 test、appdb）权限，无 admin 库的对应权限（如 read、dbAdmin、clusterAdmin）
认证数据库错误	用户创建在 admin 库，但执行命令时未在 admin 库认证（比如误在 test 库认证）
角色赋予错误	执行的命令需要高权限角色（如 clusterAdmin），但仅给了低权限角色（如 readWrite）
未认证直接执行命令	MongoDB 启用了访问控制（auth=true），但客户端未登录就执行需权限的命令
权限范围不足	比如执行listDatabases需要readAnyDatabase角色，却只给了read角色

二、分步骤解决方法

步骤 1：定位报错的核心信息（关键前提）

先从 MongoDB 日志中提取 2 个关键信息，精准定位问题：

 

# 1. 查看MongoDB日志（Linux示例，Windows可直接打开日志文件）
grep "not authorized on admin" /var/log/mongodb/mongod.log

# 2. 从日志中找到：
# - 执行的具体命令：如 "command: { listDatabases: 1 }"
# - 执行命令的用户：如 "user: { user: 'appuser', db: 'admin' }"

 

 

示例日志片段：

 

2025-12-24T10:00:00.000+0800 E COMMAND  [conn123] command admin.listDatabases requires authentication but user appuser is not authorized on admin to execute command { listDatabases: 1, lsid: { id: UUID("xxx") }, $db: "admin" }

 

步骤 2：以超级管理员身份登录 MongoDB

首先需要用拥有root权限的用户登录（若没有 root 用户，先创建）：

场景 A：已有 root 用户（推荐）

# 登录admin数据库（root用户默认创建在admin库）
mongosh admin -u root -p 你的root密码

 

场景 B：无 root 用户（需临时关闭认证）

如果尚未创建管理员用户，需先关闭访问控制，创建 root 用户：

 

1. 停止 MongoDB 服务：
    

   # Linux
   systemctl stop mongod
   # Windows
   net stop MongoDB
   

    
    
2. 修改 MongoDB 配置文件（mongod.conf），关闭认证：

   # 找到security配置段，注释或修改authorization为false
   security:
     # authorization: enabled  # 注释掉或改为false
     authorization: false
   

    
    
3. 重启 MongoDB 服务：
    

   # Linux
   systemctl start mongod
   # Windows
   net start MongoDB
   

    
    
4. 本地无认证登录，创建 root 用户：

   // 进入admin数据库
   use admin
   // 创建root超级管理员（密码需符合复杂度要求）
   db.createUser({
     user: "root",
     pwd: "你的强密码", // 如Root@123456
     roles: [{ role: "root", db: "admin" }] // root角色拥有所有权限
   })
   

    
    
5. 恢复认证配置：将authorization改回enabled，重启 MongoDB 服务。

步骤 3：检查并赋予用户正确的权限

第一步：查看报错用户的现有权限

// 切换到admin数据库
use admin
// 查看用户权限（替换为你的报错用户名）
db.getUser("appuser")

// 示例输出（权限不足的情况）：
{
  "_id" : "admin.appuser",
  "user" : "appuser",
  "db" : "admin",
  "roles" : [ { "role" : "readWrite", "db" : "appdb" } ] // 仅拥有appdb的读写权限，无admin库权限
}

 

第二步：根据命令需求赋予对应权限

MongoDB 的权限遵循 “最小权限原则”，不要随意赋予 root，根据执行的命令选择对应角色：

 

需执行的命令 / 操作	所需角色（admin 库）	赋予命令示例
列出所有数据库（listDatabases）	readAnyDatabase	db.grantRolesToUser("appuser", [{ role: "readAnyDatabase", db: "admin" }])
集群管理（复制集 / 分片）	clusterAdmin	db.grantRolesToUser("appuser", [{ role: "clusterAdmin", db: "admin" }])
管理所有数据库用户	userAdminAnyDatabase	db.grantRolesToUser("appuser", [{ role: "userAdminAnyDatabase", db: "admin" }])
所有数据库的管理权限	dbAdminAnyDatabase	db.grantRolesToUser("appuser", [{ role: "dbAdminAnyDatabase", db: "admin" }])
超级管理员（应急场景）	root	db.grantRolesToUser("appuser", [{ role: "root", db: "admin" }])

示例：解决 “listDatabases” 命令权限不足

 

// 给appuser赋予admin库的readAnyDatabase角色
use admin
db.grantRolesToUser(
  "appuser",  // 报错的用户名
  [{ role: "readAnyDatabase", db: "admin" }]  // 所需角色
)

 

步骤 4：验证权限是否生效

重新用报错用户登录，执行原命令，检查是否报错：

 

# 务必指定admin库认证（用户创建在admin库）
mongosh admin -u appuser -p 你的密码

# 执行原报错命令（如listDatabases）
show dbs  # 等价于db.runCommand({ listDatabases: 1 })

# 若能正常列出数据库，说明权限生效

 

三、避坑指南：常见错误排查

1. 认证数据库错误：

    

   若用户创建在admin库，必须用mongosh admin -u 用户名 -p登录，而非mongosh test -u 用户名 -p（即使要操作 test 库，认证仍需在 admin 库）。
2. 角色赋予到错误数据库：

    

   集群 / 全局类角色（如 clusterAdmin、readAnyDatabase）必须在admin库赋予，不能赋予到业务库（如 appdb）。
3. 权限回收（如需）：

    

   若赋予了过多权限，可回收：

   use admin
   db.revokeRolesFromUser("appuser", [{ role: "root", db: "admin" }])