MongoDB 3.0+ 安全权限访问控制

如何mongod实例运行没有访问控制之前，增加用户管理员？？

1. 启动没有访问控制 MongoDB服务

例如，以下启动mongod实例没有访问控制。

2. 连接到实例

指定额外的命令行选项来连接Mongo shell到部署Mongodb服务器, 如—host

3. 创建的用户管理员

添加一个userAdminAnyDatabase角色的用户。例如，下面的myuseradmin创建用户myUserAdmin 在admin数据库：

use admin
db.createUser(
  {
    user: "myUserAdmin",
    pwd: "abc123",
    roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]
  }
)

4. 重新启动MongoDB实例,并启用访问控制。

重新启动mongod实例，如果使用配置文件的设置，security.authorization

sudo vi /etc/mongod.conf

修改内容：

security:
  authorization: enabled

重启服务

sudo service mongod start

5. 用户管理员身份验证

• 创建连接mongo shell 时进行授权，指定-u <username>, -p <password>, and the —authenticationDatabase <database>

mongo --port 27017 -u "myUserAdmin" -p "abc123" --authenticationDatabase "admin"

• 或者 mongo shell连接时不认证，使用db.auth()授权

use admin
db.auth("myUserAdmin", "abc123" )

首先进行访问控制，然后使用localhost exception添加用户管理员

1. 启动MongoDB实例的访问控制

启动mongod实例 AUTH命令行选项，如果使用配置文件的设置，security.authorization。

2. 通过localhost exception连接MongoDB实例

添加第一个用户, 使用Localhost Exception，连接一个mongod实例。运行Mongo shell和mongod实例必须来自同一主机

3.同上创建用户方式相同，不再赘述

1. 启动MongoDB:

service mongod start

2. 再次打开 mongo shell：

mongo --port 27017 -u "myUserAdmin" -p "abc123" --authenticationDatabase "admin"

或者

mongo
use admin
db.auth("myUserAdmin", "abc123" )

此时

show collections

2015-03-17T10:15:56.011+0800 EQUERYError: listCollections failed: {  
"ok" : 0,  
"errmsg" : "not authorized on admin to execute command { listCollections: 1.0 }",  
"code" : 13  
}  
  at Error (<anonymous>)  
  at DB._getCollectionInfosCommand (src/mongo/shell/db.js:643:15)  
  at DB.getCollectionInfos (src/mongo/shell/db.js:655:20)  
  at DB.getCollectionNames (src/mongo/shell/db.js:666:17)  
  at shellHelper.show (src/mongo/shell/utils.js:625:12)  
  at shellHelper (src/mongo/shell/utils.js:524:36)  
  at (shellhelp2):1:1 at src/mongo/shell/db.js:643

因为，用户myUserAdmin只有用户管理的权限。

3. 创建用户，用户都跟着数据库走

use test
db.createUser(  
 {  
    user: "test1",  
    pwd: "test1",  
       roles: [  
          { role: "readWrite", db: "test" }
   ]
 }
)

4. 查看刚刚创建的用户

show users

结果

5. 查看整个mongoDB全部的用户

use admin  
db.system.users.find()  
{
    "_id" : "admin.myUserAdmin",
    "user" : "myUserAdmin",
    "db" : "admin",
    "credentials" : {
        "SCRAM-SHA-1" : {
            "iterationCount" : 10000,
            "salt" : "4DvAj1iKzHkAocxvLSHIiw==",
            "storedKey" : "UIyGAiDpVtedBo2COQu77auhLic=",
        }
    },
    "roles" : [
        {
            "role" : "userAdminAnyDatabase",
            "db" : "admin"
        }
    ]
}
{
    "_id" : "test.test1",
    "user" : "test1",
    "db" : "test",
    "credentials" : {
        "SCRAM-SHA-1" : {
            "iterationCount" : 10000,
            "salt" : "d9KsgiwkupQS3R4GULhtoQ==",
            "storedKey" : "q0kNcliYpON03zNv9BeeQ1Z9BrE=",
            "serverKey" : "Hw1CypmMNaJI53bbelJtQIACgkA="
        }
    },
    "roles" : [
        {
            "role" : "readWrite",
            "db" : "test"
        }
    ]
}
>

6. 创建完毕，验证一下：

> use test
> db.auth('test1','test1')
1
> show collections
ypmlist

使用updateuser()方法语法以下：

db.updateUser(
   "<username>",
   {
     customData : { <any information> },
     roles : [
               { role: "<role>", db: "<database>" } | "<role>",
               ...
             ],
     pwd: "<cleartext password>"
    },
    writeConcern: { <write concern> }
)

指定要更新的字段和它们的新值。在更新文档中的所有字段都是可选的，但必须至少包含一个字段。更新文档具有以下字段：

修改权限操作

> use adminswitched to db admin> db.auth("myUserAdmin", "abc123" ) #需要使用管理员权限修改用户信息1use testdb.updateUser( "test1", { pwd: "itcast", customData: { title: "Senior Manager" }, "roles" : [ { "role" : "readWrite", "db" : "test" }, { "role" : "readWrite", "db" : "example" } ] })</div>then

> use admin
switched to db admin    
> db.auth("myUserAdmin", "abc123" )
1
> db.system.users.find().pretty()
{
    "_id" : "admin.myUserAdmin",
    "user" : "myUserAdmin",
    "db" : "admin",
    "credentials" : {
        "SCRAM-SHA-1" : {
            "iterationCount" : 10000,
            "salt" : "4DvAj1iKzHkAocxvLSHIiw==",
            "serverKey" : "Nyeq9uCtmEEF5bUxXw3Rf7ZKMvw="
        }
    },
    "roles" : [
        {
            "db" : "admin"
        }
    ]
}
{
    "_id" : "test.test1",
    "user" : "test1",
    "db" : "test",
    "credentials" : {
        "SCRAM-SHA-1" : {
            "iterationCount" : 10000,
            "salt" : "yTq8U8G5VjGa02iBj4LqhQ==",
            "storedKey" : "wGK5QGAsYrSGaGcVW4rFQlLrbvk=",
            "serverKey" : "j/oSYGCF2+oG3SmoiHweF5xYzyw="
        }
    },
    "roles" : [
        {
            "role" : "readWrite",
            "db" : "test"
        },
        {
            "role" : "readWrite",
            "db" : "example"
        }
    ],
    "customData" : {
        "title" : "Senior Manager"
    }
}
>

验证结果：

> use admin
switched to db admin
> db.auth('test1','itcast')
Error: Authentication failed.
0
> use test
switched to db test
> db.auth('test1','itcast')
1
> use example
switched to db example
> show collections
col
itcast
mycol

总结：用户信息存放在 第一次保存认证数据库users表里面

超级用户

use admin
db.createUser(
    {
        user: "itcast",
        pwd: "itcast",
        roles: [ { role: "root", db: "admin" } ]
    }
)

以下是系统默认角色

Read：允许用户读取指定数据库
readWrite：允许用户读写指定数据库
dbAdmin：允许用户在指定数据库中执行管理函数，如索引创建、删除，查看统计或访问system.profile
userAdmin：允许用户向system.users集合写入，可以找指定数据库里创建、删除和管理用户
clusterAdmin：只在admin数据库中可用，赋予用户所有分片和复制集相关函数的管理权限。
readAnyDatabase：只在admin数据库中可用，赋予用户所有数据库的读权限
readWriteAnyDatabase：只在admin数据库中可用，赋予用户所有数据库的读写权限
userAdminAnyDatabase：只在admin数据库中可用，赋予用户所有数据库的userAdmin权限