Neste tópico, você aprende a configurar o MongoDB para integração com o serviço gerenciado para o Microsoft Active Directory. O procedimento a seguir é verificado para o MongoDB Enterprise, nas versões 4.0 e 4.2.
Antes de começar
Antes de configurar o MongoDB, crie um domínio do Managed Microsoft AD.
Como implantar o MongoDB
Primeiro, implante o MongoDB no Google Cloud. Para compatibilidade com o Active Directory, instale uma versão do MongoDB que ofereça suporte à autenticação LDAP, como o MongoDB Enterprise Edition. É possível instalar o MongoDB em uma instância do Compute Engine ou implantá-lo no Google Kubernetes Engine.
Em uma instância do Compute Engine
Para instalar o MongoDB como um pacote independente em uma instância do Compute Engine, conclua as etapas na instalação do MongoDB Enterprise.
Em um contêiner do Google Kubernetes Engine
Para implantar o MongoDB no contêiner do Google Kubernetes Engine, execute as etapas a seguir:
- Conclua a execução de um banco de dados MongoDB no Kubernetes com StatefulSets Codelab.
- Acesse o diretório
./mongo-k8s-sidecar/example/StatefulSet/
. - Abra
mongo-statefulset.yaml
. - Substitua
image: mongo
porimage: path to gcr
.
Como configurar a autenticação
Em seguida, configure a autenticação. O Microsoft AD gerenciado pode ser usado como um back-end LDAP para autenticação. Você pode escolher LDAP ou Kerberos.
Para configurar a autenticação, use os valores de configuração para concluir um dos procedimentos de instalação a seguir:
- Para configurar a autenticação usando LDAP, conclua o tutorial do MongoDB LDAP.
- Para configurar a autenticação usando o Kerberos, conclua o tutorial do MongoDB do Kerberos.
Valores de configuração de autenticação
Use os valores a seguir para configurar a autenticação:
security.ldap.server
: use o FQDN fornecido para o domínio durante a configuração.security.ldap.userToDNMapping
: use o nome de domínio fornecido emldapQuery
.- Exemplo:
ldapQuery: "DC=cloudad,DC=gke,DC=com??sub?(userPrincipalName={0})"
- Exemplo:
security.ldap.server.authz
: use o nome de domínio fornecido emqueryTemplate
.- Exemplo:
queryTemplate: "DC=cloudad,DC=gke,DC=com??sub?(&(objectClass=group)(member:1.2.840.113556.1.4.1941:={USER}))"
- Exemplo:
security.ldap.transportSecurity
: defina comonone
para desativar TLS/SSL.
No Microsoft AD gerenciado, os usuários são criados em Cloud OU
. Use
o nome distinto para os recursos e grupos criados em Cloud OU
.
Por exemplo, para o usuário dba
, você usaria o nome distinto
"CN=dba,OU=Cloud,DC=cloudad,DC=gke,DC=com"
.