Иако ауторизација гледа на осигуравање приступа клијента систему, аутентификација проверава који тип приступа клијент има у МонгоДБ-у, након што је ауторизован у систем.
Постоје разни механизми за потврду идентитета, у наставку је наведено само неколико њих.
МонгоДБ аутентификација помоћу к.509 сертификата
Користите к.509 сертификате за потврду идентитета клијента - Сертификат је у основи поуздан потпис између клијента и МонгоДБ сервера.
Дакле, уместо да унесете корисничко име и лозинку за повезивање са сервером, сертификат се преноси између клијента и МонгоДБ сервера. Клијент ће у основи имати сертификат клијента који ће бити прослеђен серверу ради потврде идентитета на серверу. Сваки сертификат клијента одговара једном кориснику МонгоДБ. Дакле, сваки корисник из МонгоДБ мора да има свој сертификат да би могао да се аутентификује на МонгоДБ сервер.
Да би се осигурало да ово функционише, морају се следити следећи кораци;
- Важећи сертификат мора се купити од важећег независног органа и инсталирати на МонгоДБ Сервер.
- Клијентски сертификат мора да има следећа својства (једно тело за издавање сертификата (ЦА) мора да изда сертификате и за клијента и за сервер. Клијентски сертификати морају да садрже следећа поља - кеиУсаге и ектендедКеиУсаге.
- Сваки корисник који се повеже са МонгДБ сервером мора да има засебан сертификат.
Монгодб аутентификација са Керберосом
Корак 1) Конфигуришите МонгоДБ са Керберос аутентификацијом на прозорима - Керберос је механизам за аутентификацију који се користи у великим окружењима клијент-сервер.
То је врло сигуран механизам у којем је лозинка дозвољена само ако је шифрована. Па, МонгоДБ има могућност аутентикације против постојећег система заснованог на Керберос-у.
Корак 2) Покрените процес сервера монгод.еке.
Корак 3) Покрените процес клијента монго.еке и повежите се са сервером МонгоДБ.
Корак 4) Додајте корисника у МонгоДБ, који је у основи име принципа Керберос у $ спољну базу података. $ Ектернал база података је посебна база података која каже МонгоДБ-у да овери овог корисника против Керберос система уместо свог сопственог интерног система.
use $externaldb.createUser({user: "This email address is being protected from spambots. You need JavaScript enabled to view it.",roles:[{role: "read" , db:"Marketing"}}]}
Корак 5) Покрените монгод.еке са подршком за Керберос помоћу следеће наредбе
mongod.exe -auth -setParameter authenticationMechanisms=GSSAPI
А онда се сада можете повезати са корисником Керберос и Керберос аутентификацијом у базу података.
Резиме:
- Постоје разни механизми за потврду идентитета који пружају бољу сигурност у базама података. Један пример је употреба сертификата за аутентификацију корисника уместо коришћења корисничких имена и лозинки.