MongoDB verbinden

In diesem Thema wird beschrieben, wie Sie MongoDB für die Integration mit Managed Service für Microsoft Active Directory konfigurieren. Das folgende Verfahren wird für MongoDB Enterprise, Version 4.0 und 4.2 überprüft.

Hinweise

Bevor Sie MongoDB konfigurieren, erstellen Sie eine Managed Microsoft AD-Domain.

MongoDB bereitstellen

Stellen Sie zuerst MongoDB in Google Cloud bereit. Installieren Sie eine Version von MongoDB, die die LDAP-Authentifizierung wie MongoDB Enterprise Edition unterstützt, um die Kompatibilität mit Active Directory sicherzustellen. Sie können MongoDB auf einer Compute Engine-Instanz installieren oder MongoDB in Google Kubernetes Engine bereitstellen.

Auf einer Compute Engine-Instanz

Führen Sie die Schritte in der MongoDB Enterprise-Installation aus, um MongoDB als eigenständiges Paket auf einer Compute Engine-Instanz zu installieren.

In einem Google Kubernetes Engine-Container

Führen Sie die folgenden Schritte aus, um MongoDB in einem Google Kubernetes Engine-Container bereitzustellen:

1. Führen Sie das MongoDB-Datenbank in Kubernetes mit StatefulSets aus Codelab ausführen aus.
2. Wechseln Sie in das Verzeichnis ./mongo-k8s-sidecar/example/StatefulSet/.
3. mongo-statefulset.yaml öffnen
4. Ersetzen Sie image: mongo durch image: path to gcr.

Authentifizierung konfigurieren

Als Nächstes konfigurieren Sie die Authentifizierung. Managed Microsoft AD kann als LDAP-Back-End für die Authentifizierung verwendet werden. Sie können zwischen LDAP und Kerberos wählen.

Verwenden Sie zum Konfigurieren der Authentifizierung die Konfigurationswerte, um eines der folgenden Einrichtungsschritte abzuschließen:

• Richten Sie die MongoDB-LDAP-Anleitung ein, um die Authentifizierung mit LDAP einzurichten.
• Richten Sie die MongoDB-Kerberos-Anleitung ein, um die Authentifizierung mit Kerberos einzurichten.

Werte für die Authentifizierungskonfiguration

Verwenden Sie die folgenden Werte, um die Authentifizierung zu konfigurieren:

• security.ldap.server: Verwenden Sie den FQDN, den Sie bei der Einrichtung für die Domain angegeben haben.
• security.ldap.userToDNMapping: Verwenden Sie den Domainnamen der Domain, die in ldapQuery angegeben ist.
  • Beispiel: ldapQuery: "DC=cloudad,DC=gke,DC=com??sub?(userPrincipalName={0})"
• security.ldap.server.authz: Verwenden Sie den Domainnamen der in queryTemplate angegebenen Domain.
  • Beispiel: queryTemplate: "DC=cloudad,DC=gke,DC=com??sub?(&(objectClass=group)(member:1.2.840.113556.1.4.1941:={USER}))"
• security.ldap.transportSecurity: Wird auf none gesetzt, um TLS/SSL zu deaktivieren.

In Managed Microsoft AD werden Nutzer unter Cloud OU erstellt. Sie sollten für die Ressourcen und Gruppen, die unter Cloud OU erstellt wurden, den Distinguished Name verwenden. Für Nutzer dba würden Sie beispielsweise den Distinguished Name "CN=dba,OU=Cloud,DC=cloudad,DC=gke,DC=com" verwenden.