Walaupun kebenaran memastikan pengguna dapat mengakses sistem, pengesahan memeriksa jenis akses yang dimiliki klien di MongoDB, setelah mereka diberi kebenaran ke dalam sistem.
Terdapat pelbagai mekanisme pengesahan, di bawah ini terdapat beberapa daripadanya.
Pengesahan MongoDB menggunakan Sijil x.509
Gunakan sijil x.509 untuk mengesahkan pelanggan - Sijil pada dasarnya adalah tandatangan yang dipercayai antara pelanggan dan Pelayan MongoDB.
Oleh itu, daripada memasukkan nama pengguna dan kata laluan untuk menyambung ke pelayan, sijil diberikan antara pelanggan dan Pelayan MongoDB. Pelanggan pada dasarnya akan mempunyai sijil klien yang akan dihantar ke pelayan untuk mengesahkan ke pelayan. Setiap sijil pelanggan sesuai dengan pengguna MongoDB tunggal. Oleh itu, setiap pengguna dari MongoDB harus mempunyai sijil mereka sendiri untuk mengesahkan ke pelayan MongoDB.
Untuk memastikan ini berfungsi, langkah-langkah berikut mesti diikuti;
- Perakuan yang sah mesti dibeli dari pihak berkuasa pihak ketiga yang sah dan memasangnya di MongoDB Server.
- Sijil Pelanggan mesti mempunyai sifat berikut (Pihak Berkuasa Sijil tunggal (CA) mesti mengeluarkan sijil untuk kedua-dua pelanggan dan pelayan. Sijil Pelanggan mesti mengandungi bidang berikut - keyUsage dan diperpanjangKeyUsage.
- Setiap pengguna yang menghubungkan ke Pelayan MongDB perlu mempunyai sijil yang berasingan.
Pengesahan Mongodb dengan Kerberos
Langkah 1) Konfigurasikan MongoDB dengan Kerberos Authentication pada windows - Kerberos adalah mekanisme pengesahan yang digunakan dalam persekitaran pelayan pelanggan yang besar.
Ini adalah mekanisme yang sangat selamat di mana kata laluan hanya dibenarkan jika disulitkan. Nah, MongoDB mempunyai kemudahan untuk mengesahkan terhadap sistem berasaskan Kerberos yang ada.
Langkah 2) Mulakan proses pelayan mongod.exe.
Langkah 3) Mulakan proses klien mongo.exe dan sambungkan ke pelayan MongoDB.
Langkah 4) Tambahkan pengguna di MongoDB, yang pada dasarnya adalah nama utama Kerberos ke pangkalan data $ luar. Pangkalan data luaran $ adalah pangkalan data khas yang memberitahu MongoDB untuk mengesahkan pengguna ini terhadap sistem Kerberos dan bukannya sistem dalamannya sendiri.
use $externaldb.createUser({user: "This email address is being protected from spambots. You need JavaScript enabled to view it.",roles:[{role: "read" , db:"Marketing"}}]}
Langkah 5) Mulakan mongod.exe dengan sokongan Kerberos dengan menggunakan arahan berikut
mongod.exe -auth -setParameter authenticationMechanisms=GSSAPI
Dan sekarang anda boleh berhubung dengan pengguna Kerberos dan pengesahan Kerberos ke pangkalan data.
Ringkasan:
- Terdapat pelbagai mekanisme pengesahan untuk memberikan keselamatan yang lebih baik dalam pangkalan data. Salah satu contohnya ialah penggunaan sijil untuk mengesahkan pengguna dan bukannya menggunakan nama pengguna dan kata laluan.