摘要:在前面一篇文章中,我介紹了如何在單臺上設置鑒權,以防范對數據未經授權的訪問�。本文介紹在配置了主從和分片的情況下�,如何為數據庫添加鑒權��。創建用戶并賦予合適的角色這點參考前面的單臺如何設置鑒權即可�,使用客戶端連上數據庫����,創建用戶,過程完全一樣。
在前面一篇文章中,我介紹了如何在單臺 MongoDB 上設置鑒權����,以防范對數據未經授權的訪問��。本文介紹在配置了主從(Replica Set)和分片(Sharding)的情況下,如何為數據庫添加鑒權�����。這兩種情況下的配置方式沒有區別,為簡單起見����,我將它們都稱作“多臺服務器”。
總的來說,為多臺服務器配置鑒權分為三步:
創建 key 文件���;
通過 key 文件來啟動每臺服務器;
創建用戶并賦予合適的角色。
創建 key 文件
在單臺 MongoDB 上配置鑒權時����,我們只需要關心客戶端與服務器之間的通信是否安全�;而在多臺服務器環境下��,我們還要關注服務器與服務器之間的通信���。
為了保證服務器與服務器之間的通信安全�,MongoDB 提供了一種很方便的方式:key 文件����。所有的服務器都使用相同內容的 key 文件來驗證相互之間的通信,那么只要 key 文件不泄露出去,服務器之間的通信就無法仿冒,可以說是安全的。
key 文件的內容應該隨機生成���,僅包含 base64 字符集中的字符,空白字符(空格�,換行��,制表符等)會被忽略。文件大小在 6~1024 字節之間���。key 文件的訪問權限必須被設置為 600,否則 MongoDB 會報錯說沒有設置正確的文件權限。
你可以用 vi 或 openssl 命令來生成 key 文件�。下面是一個例子:
openssl rand -base64 741 > mongodb-keyfile
chmod 600 mongodb-keyfile
創建好 key 文件后�,將其分發到所有服務器上���,并保證只有運行 mongodb 的用戶能訪問該文件����。
通過 key 文件來啟動每臺 MongoDB
服務器的啟動順序不變,區別僅僅是在啟動命令里加上 --auth --keyFile mongodb-keyfile 這兩個參數。注意不管是 mongod 還是 mongos 都要加上這兩個參數。
創建用戶并賦予合適的角色
這點參考前面的 “單臺MongoDB如何設置鑒權” 即可,使用客戶端連上數據庫�,創建用戶�,過程完全一樣���。需要注意的是對于主從數據庫你應該連到主數據庫上����,而對于分片你應該連到 mongos 上����。
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為����,您可以聯系管理員刪除��。
轉載請注明本文地址:http://m.specialneedsforspecialkids.com/yun/18742.html
