MongoDB 3.0+安全权限访问控制详解
1、启动没有访问控制的MongoDB服务
sudoservicemongodstart
2、连接到实例
mongo--port27017
指定额外的命令行选项来连接Mongoshell到部署Mongodb服务器,如--host
3、创建的用户管理员
useadmin
db.createUser(
{
user:"myUserAdmin",
pwd:"abc123",
roles:[{role:"userAdminAnyDatabase",db:"admin"}]
}
)
4、重新启动MongoDB实例,并启用访问控制
1、重新启动mongod实例,如果使用配置文件的设置,security.authorization:
vi/etc/mongod.conf
修改内容:
security:
authorization:enabled
2、注意:keysandvalues之间一定要加空格,否则解析会报错
重启服务:
sudoservicemongodstart
5、用户管理员身份验证
1、创建连接mongoshell时进行授权,指定-u
mongo--port27017-u"myUserAdmin"-p"abc123"--authenticationDatabase"admin"
2、mongoshell连接时不认证,使用db.auth()授权
useadmin
db.auth("myUserAdmin","abc123")
--------------------服务器以开启认证后,如何添加用户--------------------
1、启动MongoDB实例的访问控制
启动mongod实例AUTH命令行选项,如果使用配置文件的设置,security.authorization。
sudoservicemongodstart
2、通过localhostexception连接MongoDB实例
添加第一个用户,使用LocalhostException,连接一个mongod实例。运行Mongoshell和mongod实例必须来自同一主机
3、同上创建用户方式相同
--------------------普通用户安全访问权限--------------------
1、启动MongoDB
servicemongodstart
2、再次打开MongoDBshell
1、mongo--port27017-u"myUserAdmin"-p"abc123"--authenticationDatabase"admin"
2、mongo
useadmin
db.auth("myUserAdmin","abc123")
3、showcollections:报错
因为用户myUserAdmin只用用户的管理权限
3、创建用户,用户都跟着数据库走
为myuseradmin创建用户myUserAdmin在admin数据库
useadmin
db.createUser(
{
user:"myUserAdmin",
pwd:"abc123",
roles:[{role:"userAdminAnyDatabase",db:"admin"}]
}
)
4、查看刚刚创建的用户
showusers
5、查看整个MongoDB全部的用户
useadmin
db.system.users.find()
db.system.users.find().pretty()
6、创建完毕、进行验证
usetest
db.auth('test1','test1')
1
showcollections
ypmlist
--------------------修改权限--------------------
1、updateuser()方法:
1、实例
db.updateUser(
"",
{
customData:{},
roles:[
{role:"",db:" "}|" ",
...
],
pwd:""
},
writeConcern:{}
)
2、参数介绍:
1、username:要更新的用户名。
2、update:替换用户数据的文档,此数据完全取代了用户的相应数据。
3、writeConcern:可选,写操作级别。
3、指定要更新的字段和他们的新值:
1、customData:可选。任意信息。
2、roles:可选。授予用户的角色。对角色数组覆盖以前的数组的值更新
3、pwd:可选。用户密码
--------------------修改权限操作--------------------
实例:
useadmin
switchedtodbadmin
db.auth("myUserAdmin","abc123")
1
usetest
db.updateUser(
"test1",
{
pwd:"itcast",
customData:{title:"SeniorManager"},
"roles":[
{
"role":"readWrite",
"db":"test"
},
{
"role":"readWrite",
"db":"example"
}
}
)
--------------------超级用户--------------------
useadmin
db.createUser(
{
user:"itcast",
pwd:"itcast",
roles:[{role:"root",db:"admin"}]
}
)
2、系统默认角色:
1、Read:允许用户读取指定数据库
2、readWrite:允许用户读写指定数据库
3、dbAdmin:允许用户在指定数据库中执行管理函数,如索引创建、删除,查看统计或访问system.profile
4、userAdmin:允许用户向system.users集合写入,可以找指定数据库里创建、删除和管理用户
5、clusterAdmin:只在admin数据库中可用,赋予用户所有分片和复制集相关函数的管理权限。
6、readAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的读权限
7、readWriteAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的读写权限
8、userAdminAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的userAdmin权限
9、dbAdminAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的dbAdmin权限。
10、root:只在admin数据库中可用。超级账号,超级权限