MongoDB3.X单机及shading cluster集群的权限管理（基于3.4.5）

mongodb集群的权限管理分为两部分，一部分是最常用的Role-Based Access Control，也就是用户名密码方式，这种验证方式一般出现在单机系统，或者集群中client端连接Mongos端；另一种是Internal Authentication.有英文基础想获取security完整信息的请点击访问官方文档。

1、Role-Based Access Control

　　官方文档上介绍如下：MongoDB采用基于角色的访问控制（RBAC）来管理对MongoDB系统的访问。 授予用户一个或多个角色，以确定用户对数据库资源和操作的访问。 在角色分配之外，用户无法访问系统。（不得不说。。google翻译做的不错，这一段翻出来竟然毫无违和感）。

　　RBAC通过角色来赋予用户权限，在开启权限管理之前，个人建议先创建几个用户，至少要有一个拥有用户管理权限的角色存在。在mongodb中，系统自带了若干角色：

　　库使用权限：read, readWrite

　　库管理权限：dbAdmin, dbOwner, userAdmin

　　集群管理权限：clusterAdmin, clusterManager, clusterMonitor, hostManager

　　备份恢复权限：backup, restore

　　全局权限：readAnyDatabase, readWriteAnyDatabase, userAdminAnyDatabase, dbAdminAnyDatabase

　　超级用户：root，__system（包含所有权限官方不建议使用）

　　对于使用来讲，建议首先创建一个包含全局权限的用户(dbAdmin并不能readwrite)，这样在启用权限管理之后便可以通过这个用户来创建其他用户。Mongodb权限管理默认是精确到DB的，如果需要区分一个DB下的不同collection的权限需要自定义role。对用户赋予库使用和库管理权限的时候需要指定库，这样用户会获得此库下的对应权限。对mongodb来讲，在哪个库下创建的用户，就需要每次在创建的库进行认证。所以建议在创建用户的时候，库使用用户和库管理用户在指定库下创建用户。

2、Internal Authentication

　　这个东西是用来在集群中进行互相认证的，每个Mongo实例在互相访问的过程中会验证彼此的权限，只有满足条件才可以进行数据读写等操作。分为两种方式，一种是Keyfiles，一种是x.509，在普通集群中Keyfiles已经足够了，而且相对比较简单，只需要在每个节点启动的时候指定相同的Keyfile就行。x.509提供了一个SSL/TLS连接，并不常用。

3、开启验证

　　首先登录单机Mongod或者集群的mongos创建一个有权限的用户：

use admin
db.createUser({
... user: "gaoze",
... pwd: "gaolaoban",
... roles: [
... {role: "clusterAdmin", db: "admin"},
... {role: "readWriteAnyDatabase", db: "admin"},
... {role: "userAdminAnyDatabase", db: "admin"},
... {role: "dbAdminAnyDatabase", db: "admin"}]
... })

　　我们这个帐号创建在admin库下，用户拥有所有库的读写权限和admin权限，还有用户管理权限及集群管理权限，如果是单机系统可以把clusterAdmin那个删掉。

　　然后开启认证：

　　RBAC的认证开启比较简单，如果是单机系统启动的时候加上--auth参数即可，如果是集群的话，在Mongos的配置里加上keyfile文件，Mongos会自动启动认证。

　　Internal Authentication认证需要创建一个keyfile文件，keyfile文件只能包含base64字符集的字符，位数可以为6到1024位，官方文档给出的创建方式如下：

openssl rand -base64  > <path-to-keyfile>
chmod  <path-to-keyfile>

　　如果不好用可以自己随便找一段文字，转成base64字符集，然后用下面操作生成keyfile文件，记得赋予400或者600权限，否则在启动的时候会报错keyfile too open permissions

touch keyfile
echo "keyfile内容" > keyfile

　　创建完keyfile文件然后把这个文件分发到每台mongodb的机器上，然后修改配置文件（具体参见上篇构建集群的配置说明）：

　　shard节点：

systemLog:
   destination: file
   path: "/home/gaoze/platform/logs/mongodb/shardsvr.log"
   logAppend: true
storage:
   dbPath: "/home/gaoze/platform/data/shardData"
   journal:
      enabled: true
setParameter:
   enableLocalhostAuthBypass:
processManagement:
   fork: true
replication:
   replSetName: "shardsvr1"
sharding:
   clusterRole: "shardsvr"
security:
   keyFile: "/home/gaoze/platform/mongodb-3.4.5/keyfile0"
   authorization: enabled

　　config节点：

systemLog:
   destination: file
   path: "/home/gaoze/platform/logs/mongodb/configsvr.log"
   logAppend: true
storage:
   dbPath: "/home/gaoze/platform/data/configData"
   journal:
      enabled: true
setParameter:
   enableLocalhostAuthBypass:
processManagement:
   fork: true
replication:
   replSetName: "configsvr0"
sharding:
   clusterRole: "configsvr"
security:
   keyFile: "/home/gaoze/platform/mongodb-3.4.5/keyfile0"
   authorization: enabled

　　mongos（可以看到，mongos不必指定security.authorization）：

systemLog:
   destination: file
   path: "/home/gaoze/platform/logs/mongodb/mongos.log"
   logAppend: true
net:
   bindIp: 192.168.2.48
   port:
setParameter:
   enableLocalhostAuthBypass:
processManagement:
   fork: true
sharding:
   configDB: "configsvr0/192.168.2.48:27019,192.168.2.49:27019"
security:
   keyFile: "/home/cloud/platform/mongodb-3.4.5/keyfile0"

4、验证下的集群使用

　　shell登录进去需要进行验证才可以使用集群，简而言之就是：

use admin
db.auth("gaoze", "gaolaoban")

　　我们在其他库上创建个使用者（在目标库上创建用户！）：

use test
db.createUser({user: "rw",    pwd: "",    roles: [{role: "readWrite", db: "test"}]})

　　然后我们在test库上使用新用户来进行操作：

use test
db.auth("rw", "")

　　可以试验我们的新用户是可以读写的。