Medtem ko avtorizacija obravnava zagotavljanje odjemalčevega dostopa do sistema, preverjanje pristnosti preveri, kakšen dostop ima odjemalec v MongoDB, potem ko je dovoljen v sistem.
Obstajajo različni mehanizmi za preverjanje pristnosti, spodaj je le nekaj izmed njih.
Preverjanje pristnosti MongoDB z uporabo potrdil x.509
Za overjanje odjemalca uporabite potrdila x.509 - Potrdilo je v bistvu zaupanja vreden podpis med odjemalcem in strežnikom MongoDB.
Namesto vnosa uporabniškega imena in gesla za povezavo s strežnikom se med odjemalcem in strežnikom MongoDB posreduje potrdilo. Naročnik bo imel v bistvu potrdilo odjemalca, ki bo posredovano strežniku za preverjanje pristnosti v strežniku. Vsako potrdilo odjemalca ustreza enemu uporabniku MongoDB. Torej mora vsak uporabnik iz MongoDB imeti svoje potrdilo, da se lahko overja na strežnik MongoDB.
Da bi to zagotovili, je treba upoštevati naslednje korake;
- Veljavno potrdilo je treba kupiti pri veljavnem neodvisnem organu in ga namestiti na strežnik MongoDB.
- Naročnikovo potrdilo mora imeti naslednje lastnosti (en overitelj potrdil (CA) mora izdajati potrdila tako za odjemalca kot za strežnik. Odjemalska potrdila morajo vsebovati naslednja polja - keyUsage in extendedKeyUsage.
- Vsak uporabnik, ki se poveže s strežnikom MongDB, mora imeti ločeno potrdilo.
Mongodb overjanje s Kerberosom
1. korak) Konfigurirajte MongoDB s preverjanjem pristnosti Kerberos v oknih - Kerberos je mehanizem za preverjanje pristnosti, ki se uporablja v velikih okoljih odjemalec-strežnik.
Je zelo varen mehanizem, pri katerem je geslo dovoljeno le, če je šifrirano. No, MongoDB ima možnost preverjanja pristnosti proti obstoječemu sistemu, ki temelji na Kerberosu.
2. korak) Zaženite postopek strežnika mongod.exe.
Korak 3) Zaženite postopek odjemalca mongo.exe in se povežite s strežnikom MongoDB.
Korak 4) Dodajte uporabnika v MongoDB, ki je v bistvu glavno ime Kerberos, v zunanjo bazo podatkov $. Zunanja baza podatkov $ je posebna baza podatkov, ki MongoDB pove, naj tega uporabnika overi pred sistemom Kerberos namesto s svojim notranjim sistemom.
use $externaldb.createUser({user: "This email address is being protected from spambots. You need JavaScript enabled to view it.",roles:[{role: "read" , db:"Marketing"}}]}
Korak 5) Zaženite mongod.exe s podporo za Kerberos z naslednjim ukazom
mongod.exe -auth -setParameter authenticationMechanisms=GSSAPI
Nato se lahko zdaj povežete z uporabnikom Kerberos in preverjanjem pristnosti Kerberos v bazo podatkov.
Povzetek:
- Obstajajo različni mehanizmi za preverjanje pristnosti, ki zagotavljajo boljšo varnost baz podatkov. En primer je uporaba potrdil za preverjanje pristnosti uporabnikov namesto uporabe uporabniških imen in gesel.