Cette rubrique explique comment configurer MongoDB pour l'intégration avec le service géré pour Microsoft Active Directory. La procédure suivante est validée pour MongoDB Enterprise dans les versions 4.0 et 4.2.
Avant de commencer
Avant de configurer MongoDB, créez un domaine Microsoft AD géré.
Déployer MongoDB
Pour commencer, déployez MongoDB sur Google Cloud. Pour assurer la compatibilité avec Active Directory, veillez à installer une version de MongoDB compatible avec l'authentification LDAP, telle que MongoDB Enterprise Edition. Vous pouvez installer MongoDB sur une instance Compute Engine ou vous pouvez déployer MongoDB sur Google Kubernetes Engine.
Sur une instance Compute Engine
Pour installer MongoDB en tant que package autonome sur une instance Compute Engine, suivez les étapes d'installation de MongoDB Enterprise.
Dans un conteneur Google Kubernetes Engine
Pour déployer MongoDB dans un conteneur Google Kubernetes Engine, procédez comme suit :
- Suivez les étapes décrites dans l'atelier de programmation Exécuter une base de données MongoDB dans Kubernetes avec les objets StatefulSet.
- Accédez au répertoire
./mongo-k8s-sidecar/example/StatefulSet/
: - Ouvrir
mongo-statefulset.yaml
- Remplacez
image: mongo
parimage: path to gcr
.
Configurer l'authentification
Ensuite, configurez l'authentification. Le service Microsoft AD géré peut être utilisé comme backend LDAP pour l'authentification. Vous pouvez choisir LDAP ou Kerberos.
Pour configurer l'authentification, utilisez les valeurs de configuration afin de réaliser l'une des procédures d'installation suivantes :
- Pour configurer l'authentification basée sur LDAP, suivez le tutoriel MongoDB pour LDAP.
- Pour configurer l'authentification basée sur Kerberos, suivez le tutoriel MongoDB pour Kerberos.
Valeurs de configuration pour l'authentification
Utilisez les valeurs suivantes pour configurer l'authentification :
security.ldap.server
: utilisez le nom de domaine complet que vous avez fourni pour le domaine lors de la configuration.security.ldap.userToDNMapping
: utilisez le nom du domaine fourni dansldapQuery
.- Exemple :
ldapQuery: "DC=cloudad,DC=gke,DC=com??sub?(userPrincipalName={0})"
- Exemple :
security.ldap.server.authz
: utilisez le nom du domaine fourni dansqueryTemplate
.- Exemple :
queryTemplate: "DC=cloudad,DC=gke,DC=com??sub?(&(objectClass=group)(member:1.2.840.113556.1.4.1941:={USER}))"
- Exemple :
security.ldap.transportSecurity
: définissez la valeur surnone
pour désactiver TLS/SSL.
Dans le service Microsoft AD géré, les utilisateurs sont créés sous Cloud OU
. Vous devez utiliser le nom distinctif pour les ressources et les groupes créés sous Cloud OU
.
Par exemple, pour l'utilisateur dba
, vous utiliseriez le nom distinctif "CN=dba,OU=Cloud,DC=cloudad,DC=gke,DC=com"
.