Настройка аутентификации в кластере
Для аутентификации узлов кластера необходимо создать файл с ключом из 6-1024 символов Base64. Сделать это можно так:
openssl rand -base64 741 > mongo_keyfile
Этот файл должен иметь права 400, разрешаем чтение только владельцу файла, а также назначаем владельца :
chown mongodb mongo_keyfile chmod 400 mongo_keyfile
После этого в /etc/mongodb.conf
необходимо добавить параметр keyfile
с абсолютным путём к созданному файлу( в нашем случае добавляем строку keyFile = /etc/mongo_keyfile) и перезапустить MongoDB.
Это действие нужно выполнить на каждом узле кластера:
Копируем файл на каждый узел кластера, не забываем проверить права и владельца файла.
Указание keyFile
автоматически включает аутентификацию (auth = true
).
Далее надо выполнить настройку пользователей.
Настройка пользователей
Создание администратора
Для создания администратора в Mongo shell нужно:
1) Подключиться к БД admin
:
$ mongo admin connecting to: admin >
2) Ввести команду на создание пользователя
db.addUser({ user: "<имя_пользователя>", pwd: "<пароль>", roles: [ "clusterAdmin", "userAdminAnyDatabase", "dbAdminAnyDatabase", "readWriteAnyDatabase" ] })
Все, администратора создали, теперь нужно перезапустить сервис Mongodb. Если настройку аутентификации в кластере не настраивали, то нужно прописать в конфигурационном файле /etc/mongodb.conf
параметр auth = true
service mongodb restart
После перезапуска сервиса можно подключаться к mongo c созданной учетной записью.
mongo -u<имя> -p<пароль> admin
admin - это бд к которой мы подключаемся, если не указать бд admin, то у нас не будет каких либо привилегий.
Далее надо добавить пользователей для других баз данных. В частности для бд: notification-gw, pcrf, wifi-customer-cab
Обычные пользователи добавляются так же, как и администратор, только с ролями readWrite
(чтение/запись) и dbAdmin
(некоторые операции с индексами и коллекциями):
Переключаемся на нужную БД
> use notification-gw
Создаем пользователя
> db.addUser({ user: "<имя_пользователя>", pwd: "<пароль>", roles: [ "readWrite", "dbAdmin" ] })
Переключаемся на другую бд
> use pcrf
Повторяем создание пользователя для PCRF, с теми же привелегиями, но добавляем привелегию clusterAdmin, для получения состояния replica set.
> db.addUser({ user: "<имя_пользователя>", pwd: "<пароль>", roles: [ "readWrite", "dbAdmin", clusterAdmin ] })
И аналогично делаем для бд wifi-customer-cab
> use wifi-customer-cab > db.addUser({ user: "<имя_пользователя>", pwd: "<пароль>", roles: [ "readWrite", "dbAdmin" ] }
Не забываем в конфигурационном файле Личного кабинета /etc/eltex-wifi-cab/system.xml , указать логин, пароль для доступа к БД wifi-customer-cab.
В NBI
/etc/eltex-radius-nbi/radius_nbi_config.txt
доступ к pcrf.
NGW
/etc/eltex-notification-gw/notification.properties
к бд notification-gw
.