In diesem Thema wird beschrieben, wie Sie MongoDB für die Integration mit Managed Service für Microsoft Active Directory konfigurieren. Das folgende Verfahren wird für MongoDB Enterprise, Version 4.0 und 4.2 überprüft.
Hinweis
Bevor Sie MongoDB konfigurieren, erstellen Sie eine Managed Microsoft AD-Domain.
MongoDB bereitstellen
Stellen Sie zuerst MongoDB in Google Cloud bereit. Installieren Sie eine Version von MongoDB, die die LDAP-Authentifizierung wie MongoDB Enterprise Edition unterstützt, um die Kompatibilität mit Active Directory sicherzustellen. Sie können MongoDB auf einer Compute Engine-Instanz installieren oder MongoDB in Google Kubernetes Engine bereitstellen.
Auf einer Compute Engine-Instanz
Führen Sie die Schritte in der MongoDB Enterprise-Installation aus, um MongoDB als eigenständiges Paket auf einer Compute Engine-Instanz zu installieren.
In einem Google Kubernetes Engine-Container
Führen Sie die folgenden Schritte aus, um MongoDB in einem Google Kubernetes Engine-Container bereitzustellen:
- Führen Sie das MongoDB-Datenbank in Kubernetes mit StatefulSets aus Codelab ausführen aus.
- Wechseln Sie in das Verzeichnis
./mongo-k8s-sidecar/example/StatefulSet/
. mongo-statefulset.yaml
öffnen- Ersetzen Sie
image: mongo
durchimage: path to gcr
.
Authentifizierung konfigurieren
Als Nächstes konfigurieren Sie die Authentifizierung. Managed Microsoft AD kann als LDAP-Back-End zur Authentifizierung verwendet werden. Sie können zwischen LDAP und Kerberos wählen.
Verwenden Sie zum Konfigurieren der Authentifizierung die Konfigurationswerte, um eines der folgenden Einrichtungsschritte abzuschließen:
- Richten Sie die MongoDB-LDAP-Anleitung ein, um die Authentifizierung mit LDAP einzurichten.
- Richten Sie die MongoDB-Kerberos-Anleitung ein, um die Authentifizierung mit Kerberos einzurichten.
Werte für die Authentifizierungskonfiguration
Verwenden Sie die folgenden Werte, um die Authentifizierung zu konfigurieren:
security.ldap.server
: Verwenden Sie den FQDN, den Sie bei der Einrichtung für die Domain angegeben haben.security.ldap.userToDNMapping
: Verwenden Sie den Domainnamen der inldapQuery
angegebenen Domain.- Beispiel:
ldapQuery: "DC=cloudad,DC=gke,DC=com??sub?(userPrincipalName={0})"
- Beispiel:
security.ldap.server.authz
: Verwenden Sie den Domainnamen der inqueryTemplate
angegebenen Domain.- Beispiel:
queryTemplate: "DC=cloudad,DC=gke,DC=com??sub?(&(objectClass=group)(member:1.2.840.113556.1.4.1941:={USER}))"
- Beispiel:
security.ldap.transportSecurity
: Wird aufnone
gesetzt, um TLS/SSL zu deaktivieren.
In Managed Microsoft AD werden Nutzer unter Cloud OU
erstellt. Sie sollten für die Ressourcen und Gruppen, die unter Cloud OU
erstellt wurden, den Distinguished Name verwenden.
Für Nutzer dba
würden Sie beispielsweise den Distinguished Name "CN=dba,OU=Cloud,DC=cloudad,DC=gke,DC=com"
verwenden.