mongo身份验证和权限管理
身份认证:
MongoDB安装完成后,默认是没有权限验证的,默认是不需要输入用户名密码即可登录的,但是往往数据库方面我们会出于安全性的考虑而设置用户名密码。
即任何客户端都可以使用mongo IP:27017/admin命令登录mongo服务
启用访问控制前,请确保在 admin 数据库中拥有 userAdmin 或 userAdminAnyDatabase 角色的用户。
该用户可以管理用户和角色,例如:创建用户,授予或撤销用户角色,以及创建或修改定义角色。
启用验证的方式:
1. /etc/mongodb.conf //将auth=true前面的注释拿掉,然后重启服务生效。
2.线上生产环境使用的是docker:
a. 需要在config和shard服务的启动命令中加上“--auth”参数。
b. 需要在宿主机生成一个keyfile文件:openssl rand -base64 755 > mongo.key,
分别放在mongos、config和shard目录中,并修改目录权限:chown -R 999:999 mongos 和keyfile权限:chmod 600 mongos/mongo.key
c. 在config和shard和mongos服务启动命令中添加“--keyFile /data/db/mongo.key”参数。
用户权限:
一,掌握权限,理解下面4条基本上就差不多
1. mongodb是没有默认管理员账号,所以要先添加管理员账号,在开启权限认证。
2. 切换到admin数据库,添加的账号才是管理员账号。
3. 用户只能在用户所在数据库登录,包括管理员账号。
4. mongo的用户是以数据库为单位来建立的,每个数据库有自己的管理员。
5. 管理员可以管理所有数据库,但是不能直接管理其他数据库,要先在admin数据库认证后才可以。
注:帐号是跟着库走的,所以在指定库里授权,必须也在指定库里验证
权限说明
权限说明
Built-In Roles(内置角色):
1. 数据库用户角色:read、readWrite;
2. 数据库管理角色:dbAdmin、dbOwner、userAdmin;
3. 集群管理角色:clusterAdmin、clusterManager、clusterMonitor、hostManager;
4. 备份恢复角色:backup、restore;
5. 所有数据库角色:readAnyDatabase、readWriteAnyDatabase、userAdminAnyDatabase、dbAdminAnyDatabase
6. 超级用户角色:root
// 这里还有几个角色间接或直接提供了系统超级用户的访问(dbOwner 、userAdmin、userAdminAnyDatabase)
权限具体说明
具体说明
Read:允许用户读取指定数据库
readWrite:允许用户读写指定数据库
dbAdmin:允许用户在指定数据库中执行管理函数,如索引创建、删除,查看统计或访问system.profile
userAdmin:允许用户向system.users集合写入,可以找指定数据库里创建、删除和管理用户
clusterAdmin:只在admin数据库中可用,赋予用户所有分片和复制集相关函数的管理权限。
readAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的读权限
readWriteAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的读写权限
userAdminAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的userAdmin权限
dbAdminAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的dbAdmin权限。
root:只在admin数据库中可用。超级账号,超级权限
自定义权限
mongo的权限除了系统默认的几个值,还可以自定义相应的权限给一个Role
db.createRole({ role: “testRole”, privileges: [{ resource: { db: “”, collection: “” }, actions: [“enableSharding” ] }], roles: [“readWriteAnyDatabase”] })
db.createUser( { user: “testuser”, pwd: “123456”, roles: [ { role: “testRole”, db: “admin” } ] } )
分片集群
群集用户和分片用户是独立的。
通常,要为分片群集创建用户,请连接到 mongos并添加分片群集用户。
但是,某些维护操作需要直接连接到分片群集中的特定分片。要执行这些操作,必须直接连接到分片并作为分片本地管理用户进行身份验证。
分片本地用户仅存在于特定分片中,并且只应用于特定于分片的维护和配置。您无法连接到mongos分享本地用户。
创建分片用户命令
db.getSiblingDB("admin").createUser(
{
"user" : "testadmin",
"pwd" : "12345678",
roles: [ { "role" : "clusterAdmin", "db" : "admin" },{ role: "userAdminAnyDatabase", db: "admin" } ]
}
)
增加用户:
1.创建 admin
角色:userAdminAnyDatabase (这是一个账号管理员的角色)
admin用户用于管理账号,不能进行关闭数据库等操作,目标数据库是admin
> use admin
> db.createUser({user: "admin",pwd: "123456",roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]})
另一种格式:
> db.createUser(
{
user: "dba",
pwd: "dba",
roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]
}
)
user:用户名
pwd:密码
roles:指定用户的角色,可以用一个空数组给新用户设定空角色;在roles字段,可以指定内置角色和用户定义的角色。
2.创建root
创建完admin管理员,创建一个超级管理员 root 角色:root
root角色用于 关闭数据库 db.shutdownServer()
> use admin
> db.createUser({user: "root",pwd: "123456",roles: [ { role: "root", db: "admin" } ]})
3.创建用户自己的数据库的角色
当账号管理员和超级管理员,可以为自己的数据库创建用户了
(坑)这时候一定,一定要切换到所在数据库上去创建用户,不然创建的用户还是属于admin。
> use position
> db.createUser({user: "position",pwd: "123456",roles: [ { role: "dbOwner", db: "position" } ]})
查看用户:
查看全局所有账户 :
> use admin
switched to db admin
> db.auth('admin','123456') //验证用户,相当于登录
1
> db.system.users.find().pretty() 或者使用 > db.system.users.find()
查看当前库下的账户 :
> use admins
switched to db admin
> show users
删除用户:
根据id删除用户:
> db.system.users.remove({_id:"XXX.XXX"})
根据用户名删除用户:
> db.system.users.remove({user:"XXXXXX"})
修改用户:
注:对于分片集群,用户的更改将在命令运行的 mongos 上即时生效。但是,对于群集中的其他mongos 实例,用户缓存可能会等待10分钟才能刷新。
1. 撤销角色使用db.revokeRolesFromUser()方法撤销角色。以下示例操作从account数据库上删除用户reportsUser 的 readWrite 角色:use reporting
db.revokeRolesFromUser(
"reportsUser",
[
{ role: "readWrite", db: "accounts" }
]
)
2. 授予角色使用db.grantRolesToUser()方法授予角色。 例如,以下操作授予reportsUser用户account数据库上的读取角色:use reporting
db.grantRolesToUser(
"reportsUser",
[
{ role: "read", db: "accounts" }
]
)
3. 更改密码:
将用户的用户名和新密码传递给db.changeUserPassword()方法。
以下操作将reporting用户的密码更改为:SOh3TbYhxuLiW8ypJPxmt1oOfL
> db.changeUserPassword("reporting", "SOh3TbYhxuLiW8ypJPxmt1oOfL")
=============================================================================================
登陆命令
mongo -u dba -p dba --authenticationDatabase "admin"
mongo -host 192.168.3.17 --port 27017 -u dba -p dba --authenticationDatabase "admin"
mongo 192.168.3.17:27017/admin
db.auth("dba","dba") //此为在库内验证登录命令
MongoDB常用命令
> show dbs #显示数据库列表
> show collections #显示当前数据库中的集合(类似关系数据库中的表)
> show users #显示用户
> use <db name> #切换当前数据库,如果数据库不存在则创建数据库。
> db.help() #显示数据库操作命令,里面有很多的命令
> db.foo.help() #显示集合操作命令,同样有很多的命令,foo指的是当前数据库下,一个叫foo的集合,并非真正意义上的命令
> db.foo.find() #对于当前数据库中的foo集合进行数据查找(由于没有条件,会列出所有数据)
> db.foo.find( { a : 1 } ) #对于当前数据库中的foo集合进行查找,条件是数据中有一个属性叫a,且a的值为1
MongoDB没有创建数据库的命令,但有类似的命令。 如:如果你想创建一个“myTest”的数据库,先运行use
myTest命令,之后就做一些操作(如:db.createCollection(‘user’)),这样就可以创建一个名叫“myTest”的数据库。
其他命令
> db.dropDatabase() #删除当前使用数据库
> db.cloneDatabase("127.0.0.1") #将指定机器上的数据库的数据克隆到当前数据库
> db.copyDatabase("mydb", "temp", "127.0.0.1") #将本机的mydb的数据复制到temp数据库中
> db.repairDatabase() #修复当前数据库
> db.getName() #查看当前使用的数据库,也可以直接用db
> db.stats() #显示当前db状态
> db.version() #当前db版本
> db.getMongo() #查看当前db的链接机器地址
> db.serverStatus() #查看数据库服务器的状态
查看分片结果:
db.printShardingStatus()
测试:向test数据库的user表中添加10w条数据:
use test
for(var i=0;i<100000;i++){
db.user.insert({"name":"test"+i,"age":i});
}