Configurer MongoDB

Cette rubrique explique comment configurer MongoDB pour l'intégration avec le service géré pour Microsoft Active Directory. La procédure suivante est validée pour MongoDB Enterprise dans les versions 4.0 et 4.2.

Avant de commencer

Avant de configurer MongoDB, créez un domaine Microsoft AD géré.

Déployer MongoDB

Pour commencer, déployez MongoDB sur Google Cloud. Pour assurer la compatibilité avec Active Directory, veillez à installer une version de MongoDB compatible avec l'authentification LDAP, telle que MongoDB Enterprise Edition. Vous pouvez installer MongoDB sur une instance Compute Engine ou vous pouvez déployer MongoDB sur Google Kubernetes Engine.

Sur une instance Compute Engine

Pour installer MongoDB en tant que package autonome sur une instance Compute Engine, suivez les étapes d'installation de MongoDB Enterprise.

Dans un conteneur Google Kubernetes Engine

Pour déployer MongoDB dans un conteneur Google Kubernetes Engine, procédez comme suit :

  1. Suivez les étapes décrites dans l'atelier de programmation Exécuter une base de données MongoDB dans Kubernetes avec les objets StatefulSet.
  2. Accédez au répertoire ./mongo-k8s-sidecar/example/StatefulSet/ :
  3. Ouvrir mongo-statefulset.yaml
  4. Remplacez image: mongo par image: path to gcr.

Configurer l'authentification

Ensuite, configurez l'authentification. Le service Microsoft AD géré peut être utilisé comme backend LDAP pour l'authentification. Vous pouvez choisir LDAP ou Kerberos.

Pour configurer l'authentification, utilisez les valeurs de configuration afin de réaliser l'une des procédures d'installation suivantes :

Valeurs de configuration pour l'authentification

Utilisez les valeurs suivantes pour configurer l'authentification :

  • security.ldap.server : utilisez le nom de domaine complet que vous avez fourni pour le domaine lors de la configuration.
  • security.ldap.userToDNMapping : utilisez le nom du domaine fourni dans ldapQuery.
    • Exemple : ldapQuery: "DC=cloudad,DC=gke,DC=com??sub?(userPrincipalName={0})"
  • security.ldap.server.authz : utilisez le nom du domaine fourni dans queryTemplate.
    • Exemple : queryTemplate: "DC=cloudad,DC=gke,DC=com??sub?(&(objectClass=group)(member:1.2.840.113556.1.4.1941:={USER}))"
  • security.ldap.transportSecurity : définissez la valeur sur none pour désactiver TLS/SSL.

Dans le service Microsoft AD géré, les utilisateurs sont créés sous Cloud OU. Vous devez utiliser le nom distinctif pour les ressources et les groupes créés sous Cloud OU. Par exemple, pour l'utilisateur dba, vous utiliseriez le nom distinctif "CN=dba,OU=Cloud,DC=cloudad,DC=gke,DC=com".