Associe o MongoDB

Este tópico mostra como configurar o MongoDB para integração com o serviço gerido para o Microsoft Active Directory. O procedimento seguinte é validado para o MongoDB Enterprise, versões 4.0 e 4.2.

Antes de começar

Antes de configurar o MongoDB, crie um domínio do Microsoft AD gerido.

Implementar o MongoDB

Primeiro, implemente o MongoDB em Google Cloud. Para compatibilidade com o Active Directory, certifique-se de que instala uma versão do MongoDB que suporte a autenticação LDAP, como o MongoDB Enterprise Edition. Pode instalar o MongoDB numa instância do Compute Engine ou implementá-lo no Google Kubernetes Engine.

Numa instância do Compute Engine

Para instalar o MongoDB como um pacote autónomo numa instância do Compute Engine, conclua os passos na instalação do MongoDB Enterprise.

Num contentor do Google Kubernetes Engine

Para implementar o MongoDB num contentor do Google Kubernetes Engine, conclua os seguintes passos:

1. Conclua o Running a MongoDB Database in Kubernetes with StatefulSets Codelab.
2. Aceda ao diretório ./mongo-k8s-sidecar/example/StatefulSet/.
3. Abrir mongo-statefulset.yaml
4. Substituir image: mongo por image: path to gcr

A configurar a autenticação

Em seguida, configure a autenticação. O Microsoft AD gerido pode ser usado como um back-end LDAP para autenticação. Pode escolher LDAP ou Kerberos.

Para configurar a autenticação, use os valores de configuração para concluir um dos seguintes procedimentos de configuração:

• Para configurar a autenticação através do LDAP, conclua o tutorial do LDAP do MongoDB.
• Para configurar a autenticação através do Kerberos, conclua o tutorial do Kerberos do MongoDB.

Valores de configuração da autenticação

Use os seguintes valores para configurar a autenticação:

• security.ldap.server: use o FQDN que indicou para o domínio durante a configuração.
• security.ldap.userToDNMapping: use o nome do domínio fornecido em ldapQuery.
  • Exemplo: ldapQuery: "DC=cloudad,DC=gke,DC=com??sub?(userPrincipalName={0})"
• security.ldap.server.authz: use o nome do domínio do domínio fornecido em queryTemplate.
  • Exemplo: queryTemplate: "DC=cloudad,DC=gke,DC=com??sub?(&(objectClass=group)(member:1.2.840.113556.1.4.1941:={USER}))"
• security.ldap.transportSecurity: Defina como none para desativar o TLS/SSL.

No Microsoft AD gerido, os utilizadores são criados em Cloud OU. Deve usar o nome distinto para os recursos e os grupos criados em Cloud OU. Por exemplo, para o utilizador dba, usaria o nome distinto, "CN=dba,OU=Cloud,DC=cloudad,DC=gke,DC=com".