Page tree
Skip to end of metadata
Go to start of metadata

Настройка аутентификации в кластере

Для аутентификации узлов кластера необходимо создать файл с ключом из 6-1024 символов Base64. Сделать это можно так:

openssl rand -base64 741 > mongo_keyfile

Этот файл должен иметь права 400, разрешаем чтение только владельцу файла, а также назначаем владельца :

chown mongodb mongo_keyfile
chmod 400 mongo_keyfile

После этого в /etc/mongodb.conf необходимо добавить параметр keyfile с абсолютным путём к созданному файлу( в нашем случае добавляем строку keyFile = /etc/mongo_keyfile) и перезапустить MongoDB.
Это действие нужно выполнить на каждом узле кластера:
      Копируем файл на каждый узел кластера, не забываем проверить права и владельца файла. 
Указание keyFile автоматически включает аутентификацию (auth = true).
Далее надо выполнить настройку пользователей.

Настройка пользователей

Создание администратора

Для создания администратора в Mongo shell нужно:

1) Подключиться к БД admin:

$ mongo admin
connecting to: admin
> 

2) Ввести команду на создание пользователя

db.addUser({ user: "<имя_пользователя>", pwd: "<пароль>", roles: [ "clusterAdmin", "userAdminAnyDatabase", "dbAdminAnyDatabase", "readWriteAnyDatabase" ] })

Все, администратора  создали, теперь нужно перезапустить сервис Mongodb. Если настройку аутентификации в кластере не настраивали, то нужно прописать в конфигурационном файле /etc/mongodb.conf  параметр auth = true

service mongodb restart

После перезапуска сервиса можно подключаться к mongo c созданной учетной записью.

mongo -u<имя> -p<пароль> admin

admin - это бд к которой мы подключаемся, если не указать  бд admin, то у нас не будет каких либо  привилегий.

Далее надо добавить пользователей для других баз данных. В частности для бд: notification-gw, pcrf, wifi-customer-cab

Обычные пользователи добавляются так же, как и администратор, только с ролями  readWrite (чтение/запись) и dbAdmin (некоторые операции с индексами и коллекциями):

Переключаемся на нужную БД

> use  notification-gw

Создаем пользователя

> db.addUser({ user: "<имя_пользователя>", pwd: "<пароль>", roles: [ "readWrite", "dbAdmin" ] })

Переключаемся на другую бд

> use   pcrf

Повторяем создание пользователя для PCRF, с теми же привелегиями, но добавляем привелегию clusterAdmin, для получения состояния replica set.

> db.addUser({ user: "<имя_пользователя>", pwd: "<пароль>", roles: [ "readWrite", "dbAdmin", clusterAdmin ] })

И аналогично делаем для бд wifi-customer-cab

> use   wifi-customer-cab
> db.addUser({ user: "<имя_пользователя>", pwd: "<пароль>", roles: [ "readWrite", "dbAdmin" ] }


Не забываем в конфигурационном файле Личного кабинета /etc/eltex-wifi-cab/system.xml ,   указать логин, пароль для доступа к БД wifi-customer-cab.

В NBI /etc/eltex-radius-nbi/radius_nbi_config.txt доступ к pcrf.

NGW /etc/eltex-notification-gw/notification.properties к бд notification-gw.







  • No labels