Настройка аутентификации в кластере
Для аутентификации узлов кластера необходимо создать файл с ключом из 6-1024 символов Base64. Сделать это можно так:
openssl rand -base64 741 > mongo_keyfile
Этот файл должен иметь права 400, разрешаем чтение только владельцу файла, а также назначаем владельца :
chown mongodb mongo_keyfile chmod 400 mongo_keyfile
После этого в /etc/mongod.conf
необходимо добавить параметр keyfile
с абсолютным путём к созданному файлу (keyFile = /etc/mongo_keyfile) и перезапустить MongoDB.
service mongod restart
Необходимо скопировать файл на каждый узел кластера, не забыв проверить права и владельца файла.
Указание keyFile
автоматически включает аутентификацию (auth = true
).
Далее надо выполнить настройку пользователей.
Настройка пользователей
Создание администратора
Для создания администратора в Mongo shell нужно:
1) Подключиться к БД admin
:
$ mongo admin connecting to: admin >
2) Ввести команду на создание пользователя
db.addUser({ user: "<имя_пользователя>", pwd: "<пароль>", roles: [ "clusterAdmin", "userAdminAnyDatabase", "dbAdminAnyDatabase", "readWriteAnyDatabase" ] })
Администратор создан, теперь нужно перезапустить сервис Mongo. Если настройка аутентификации в кластере не настроена, то нужно прописать в конфигурационном файле /etc/mongodb.conf
параметр auth = true
service mongod restart
После перезапуска сервиса можно подключаться к mongo c созданной учетной записью.
mongo -u<имя> -p<пароль> admin
admin - это БД, к которой нужно подключиться, если её не указать , то не будет каких-либо привилегий.
Далее надо добавить пользователей для других баз данных: notification-gw, pcrf, wifi-customer-cab.
Создание УЗ для работы сервисов
Обычные пользователи добавляются так же, как и администратор, только с ролями readWrite
(чтение/запись) и dbAdmin
(некоторые операции с индексами и коллекциями):
Переключаемся на нужную БД:
> use notification-gw
Создаем пользователя:
> db.addUser({ user: "<имя_пользователя>", pwd: "<пароль>", roles: [ "readWrite", "dbAdmin" ] })
Переключаемся на другую БД:
> use pcrf
Повторяем создание пользователя для PCRF, с теми же привилегиями, но добавляем привилегию clusterAdmin, для получения состояния replica set:
> db.addUser({ user: "<имя_пользователя>", pwd: "<пароль>", roles: [ "readWrite", "dbAdmin", clusterAdmin ] })
И аналогично делаем для БД wifi-customer-cab:
> use wifi-customer-cab > db.addUser({ user: "<имя_пользователя>", pwd: "<пароль>", roles: [ "readWrite", "dbAdmin" ] }
Добавление пользователей в конфигурации сервисов
В конфигурационном файле Личного кабинета /etc/eltex-wifi-cab/system.xml , необходимо указать логин, пароль для доступа к БД wifi-customer-cab.
В конфигурационном файле NBI /etc/eltex-radius-nbi/radius_nbi_config.txt, необходимо указать логин, пароль для доступа к БД pcrf.
В конфигурационном файле NGW /etc/eltex-notification-gw/notification.properties, необходимо указать логин, пароль для доступа к БД notification-gw.