db

mongo身份验证和权限管理

2021-05-13  本文已影响0人  Fizz_YF

mongodb密码和传统数据如mysql等有些区别:

mongodb的用户名和密码是基于特定数据库的,而不是基于整个系统的。所有所有数据库db都需要设置密码(所以是要对每个库分别设置,若设置超级用户,root,则可以登陆所有)

连接格式:./mongo ip:端口/需要连接的库名字 -u user -p password

身份认证:

MongoDB安装完成后,默认是没有权限验证的,默认是不需要输入用户名密码即可登录的,但是往往数据库方面我们会出于安全性的考虑而设置用户名密码。
即任何客户端都可以使用mongo IP:27017/admin命令登录mongo服务
启用访问控制前,请确保在 admin 数据库中拥有 userAdmin 或 userAdminAnyDatabase 角色的用户。
该用户可以管理用户和角色,例如:创建用户,授予或撤销用户角色,以及创建或修改定义角色。
启用验证的方式:
1. /etc/mongodb.conf //将auth=true前面的注释拿掉,然后重启服务生效。
2.线上生产环境使用的是docker:
a. 需要在config和shard服务的启动命令中加上“--auth”参数。
b. 需要在宿主机生成一个keyfile文件:openssl rand -base64 755 > mongo.key,
分别放在mongos、config和shard目录中,并修改目录权限:chown -R 999:999 mongos 和keyfile权限:chmod 600 mongos/mongo.key
c. 在config和shard和mongos服务启动命令中添加“--keyFile /data/db/mongo.key”参数。

用户权限:

一,掌握权限,理解下面4条基本上就差不多

1. mongodb是没有默认管理员账号,所以要先添加管理员账号,在开启权限认证。
2. 切换到admin数据库,添加的账号才是管理员账号。
3. 用户只能在用户所在数据库登录,包括管理员账号。
4. mongo的用户是以数据库为单位来建立的,每个数据库有自己的管理员。
5. 管理员可以管理所有数据库,但是不能直接管理其他数据库,要先在admin数据库认证后才可以。
注:帐号是跟着库走的,所以在指定库里授权,必须也在指定库里验证

权限说明:

Built-In Roles(内置角色):
1. 数据库用户角色:read、readWrite; 
2. 数据库管理角色:dbAdmin、dbOwner、userAdmin; 
3. 集群管理角色:clusterAdmin、clusterManager、clusterMonitor、hostManager; 4. 备份恢复角色:backup、restore; 
5. 所有数据库角色:readAnyDatabase、readWriteAnyDatabase、userAdminAnyDatabase、dbAdminAnyDatabase 
6. 超级用户角色:root 
// 这里还有几个角色间接或直接提供了系统超级用户的访问(dbOwner 、userAdmin、userAdminAnyDatabase)

权限具体说明

Read:允许用户读取指定数据库
readWrite:允许用户读写指定数据库
dbAdmin:允许用户在指定数据库中执行管理函数,如索引创建、删除,查看统计或访问system.profile
userAdmin:允许用户向system.users集合写入,可以找指定数据库里创建、删除和管理用户
clusterAdmin:只在admin数据库中可用,赋予用户所有分片和复制集相关函数的管理权限。
readAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的读权限
readWriteAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的读写权限
userAdminAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的userAdmin权限
dbAdminAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的dbAdmin权限。
root:只在admin数据库中可用。超级账号,超级权限

自定义权限

mongo的权限除了系统默认的几个值,还可以自定义相应的权限给一个Role

db.createRole({ role: “testRole”, privileges: [{ resource: { db: “”, collection: “” }, actions: [“enableSharding” ] }], roles: [“readWriteAnyDatabase”] })

db.createUser( { user: “testuser”, pwd: “123456”, roles: [ { role: “testRole”, db: “admin” } ] } ) 

分片集群

群集用户和分片用户是独立的。
通常,要为分片群集创建用户,请连接到 mongos并添加分片群集用户。
但是,某些维护操作需要直接连接到分片群集中的特定分片。要执行这些操作,必须直接连接到分片并作为分片本地管理用户进行身份验证。
分片本地用户仅存在于特定分片中,并且只应用于特定于分片的维护和配置。您无法连接到mongos分享本地用户。

创建分片用户命令
db.getSiblingDB("admin").createUser(
{ "user" : "testadmin", "pwd" : "12345678",
roles: [ { "role" : "clusterAdmin", "db" : "admin" },{ role: "userAdminAnyDatabase", db: "admin" } ]
}
)

增加用户:

1.创建 admin

角色:userAdminAnyDatabase (这是一个账号管理员的角色)
admin用户用于管理账号,不能进行关闭数据库等操作,目标数据库是admin

>user admin;
>db.createUser({user: "admin",pwd: "123456",roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]})
另一种格式: 
> db.createUser(
{
user: "dba", pwd: "dba",
roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]
}
)

user:用户名
pwd:密码
roles:指定用户的角色,可以用一个空数组给新用户设定空角色;在roles字段,可以指定内置角色和用户定义的角色。

2.创建root
创建完admin管理员,创建一个超级管理员 root 角色:root
root角色用于 关闭数据库 db.shutdownServer()

> use admin 
> db.createUser({user: "root",pwd: "123456",roles: [ { role: "root", db: "admin" } ]})

3.创建用户自己的数据库的角色

当账号管理员和超级管理员,可以为自己的数据库创建用户了
(坑)这时候一定,一定要切换到所在数据库上去创建用户,不然创建的用户还是属于admin。

> use position 
> db.createUser({user: "position",pwd: "123456",roles: [ { role: "dbOwner", db: "position" } ]})

查看用户:

查看全局所有账户 :

> use admin
switched to db admin 
> db.auth('admin','123456') //验证用户,相当于登录
1
> db.system.users.find().pretty() 
或者使用 
> db.system.users.find()

查看当前库下的账户 :

> use admins
switched to db admin 
> show users

删除用户:

根据id删除用户:

> db.system.users.remove({_id:"XXX.XXX"})

根据用户名删除用户:

> db.system.users.remove({user:"XXXXXX"})

修改用户:

注:对于分片集群,用户的更改将在命令运行的 mongos 上即时生效。但是,对于群集中的其他mongos 实例,用户缓存可能会等待10分钟才能刷新。
1. 撤销角色使用db.revokeRolesFromUser()方法撤销角色。以下示例操作从account数据库上删除用户reportsUser 的 readWrite 角色:use reporting

>db.revokeRolesFromUser( "reportsUser",
[
{ role: "readWrite", db: "accounts" }
]
)

2. 授予角色使用db.grantRolesToUser()方法授予角色。 例如,以下操作授予reportsUser用户account数据库上的读取角色:use reporting

>db.grantRolesToUser( "reportsUser",
[
{ role: "read", db: "accounts" }
]
)

3. 更改密码:
将用户的用户名和新密码传递给db.changeUserPassword()方法。
以下操作将reporting用户的密码更改为:SOh3TbYhxuLiW8ypJPxmt1oOfL

> db.changeUserPassword("reporting", "SOh3TbYhxuLiW8ypJPxmt1oOfL")

=============================================================================================
登陆命令

>mongo -u dba -p dba --authenticationDatabase "admin" 
mongo -host 192.168.3.17 --port 27017 -u dba -p dba --authenticationDatabase "admin" 
mongo 192.168.3.17:27017/admin
db.auth("dba","dba")
 //此为在库内验证登录命令

MongoDB常用命令

show dbs #显示数据库列表
show collections #显示当前数据库中的集合(类似关系数据库中的表)
show users #显示用户
use <db name> #切换当前数据库,如果数据库不存在则创建数据库。
db.help() #显示数据库操作命令,里面有很多的命令
db.foo.help() #显示集合操作命令,同样有很多的命令,foo指的是当前数据库下,一个叫foo的集合,并非真正意义上的命令
db.foo.find() #对于当前数据库中的foo集合进行数据查找(由于没有条件,会列出所有数据)
db.foo.find( { a : 1 } ) #对于当前数据库中的foo集合进行查找,条件是数据中有一个属性叫a,且a的值为1

MongoDB没有创建数据库的命令,但有类似的命令。 如:如果你想创建一个“myTest”的数据库,先运行use
myTest命令,之后就做一些操作(如:db.createCollection(‘user’)),这样就可以创建一个名叫“myTest”的数据库。

其他命令

db.dropDatabase() #删除当前使用数据库
db.cloneDatabase("127.0.0.1") #将指定机器上的数据库的数据克隆到当前数据库
db.copyDatabase("mydb", "temp", "127.0.0.1") #将本机的mydb的数据复制到temp数据库中
db.repairDatabase() #修复当前数据库
db.getName() #查看当前使用的数据库,也可以直接用db
db.stats() #显示当前db状态
db.version() #当前db版本
db.getMongo() #查看当前db的链接机器地址
db.serverStatus() #查看数据库服务器的状态

查看分片结果:
db.printShardingStatus()

测试:向test数据库的user表中添加10w条数据:

use test
for(var i=0;i<100000;i++){
db.user.insert({"name":"test"+i,"age":i});
}
上一篇下一篇

猜你喜欢

热点阅读