Zatímco se autorizace zaměřuje na zajištění přístupu klienta do systému, ověřování kontroluje, jaký typ přístupu má klient v MongoDB, jakmile byl do systému autorizován.
Existují různé ověřovací mechanismy, níže je jen několik z nich.
Ověření MongoDB pomocí certifikátů x.509
K ověření klienta použijte certifikáty x.509 - certifikát je v zásadě důvěryhodný podpis mezi klientem a serverem MongoDB.
Takže místo zadávání uživatelského jména a hesla pro připojení k serveru je mezi klientem a serverem MongoDB předán certifikát. Klient bude mít v zásadě klientský certifikát, který bude předán serveru k ověření na serveru. Každý certifikát klienta odpovídá jednomu uživateli MongoDB. Každý uživatel z MongoDB tedy musí mít svůj vlastní certifikát, aby se mohl ověřit na serveru MongoDB.
Aby to fungovalo, je třeba dodržovat následující kroky;
- Platný certifikát je třeba zakoupit od platného orgánu třetí strany a nainstalovat jej na server MongoDB.
- Certifikát klienta musí mít následující vlastnosti (Jedna certifikační autorita (CA) musí vydávat certifikáty pro klienta i server. Certifikáty klienta musí obsahovat následující pole - keyUsage a extendedKeyUsage.
- Každý uživatel, který se připojuje k serveru MongDB, musí mít samostatný certifikát.
Ověření Mongodb pomocí protokolu Kerberos
Krok 1) Konfigurace MongoDB s ověřováním pomocí protokolu Kerberos v systému Windows - Kerberos je mechanismus ověřování používaný v prostředí velkých klient-server.
Jedná se o velmi bezpečný mechanismus, při kterém je heslo povoleno, pouze pokud je šifrováno. MongoDB má zařízení k ověření proti stávajícímu systému založenému na protokolu Kerberos.
Krok 2) Spusťte proces serveru mongod.exe.
Krok 3) Spusťte proces klienta mongo.exe a připojte se k serveru MongoDB.
Krok 4) Přidejte uživatele do MongoDB, což je v zásadě hlavní název Kerberos, do externí databáze $. $ Externí databáze je speciální databáze, která říká MongoDB, aby ověřil tohoto uživatele proti systému Kerberos namísto vlastního interního systému.
use $externaldb.createUser({user: "This email address is being protected from spambots. You need JavaScript enabled to view it.",roles:[{role: "read" , db:"Marketing"}}]}
Krok 5) Spusťte soubor mongod.exe s podporou protokolu Kerberos pomocí následujícího příkazu
mongod.exe -auth -setParameter authenticationMechanisms=GSSAPI
A pak se nyní můžete připojit k uživateli Kerberos a ověřování Kerberos k databázi.
Souhrn:
- Existují různé ověřovací mechanismy, které poskytují lepší zabezpečení v databázích. Jedním příkladem je použití certifikátů k autentizaci uživatelů namísto používání uživatelských jmen a hesel.