mongoDB 3.0 安全許可權存取控制

標籤：

mongoDB 3.0 安全許可權存取控制

MongoDB3.0許可權，啥都不說了，Google百度出來的全是錯的。先安裝好盲溝，簡單的沒法說。

首先，不使用 –auth 參數，啟動 mongoDB：

mongodb-linux-i686-3.0.0/bin/mongod -f mongodb-linux-i686-3.0.0/mongodb.conf

此時你 show dbs 會看到只有一個local資料庫，那個所謂的admin是不存在的。

mongoDB 沒有炒雞無敵使用者root，只有能系統管理使用者的使用者 userAdminAnyDatabase。

開啟 mongo shell：

mongodb-linux-i686-3.0.0/bin/mongo

添加系統管理使用者：

use admindb.createUser( { user: "buru", pwd: "12345678", roles: [ { role: "userAdminAnyDatabase", db: "admin" } ] })

roles 中的 db 參數是必須的，不然會報錯：Error: couldn’t add user: Missing expected field “db”。另外，有很多文章記錄的是使用 db.addUser(…) 方法，這個方法是舊版的，3.0中已經不存在，詳見：http://docs.mongodb.org/manual/reference/method/js-user-management。

切換到admin下，查看剛才建立的使用者：

show users或db.system.users.find()

{ "_id" : "admin.buru", "user" : "buru", "db" : "admin", "credentials" : { "SCRAM-SHA-1" : { "iterationCount" : 10000, "salt" : "gwVwuA/dXvxgSHavEnlyvA==", "storedKey" : "l2QEVTEujpkCuqDEKqfIWbSv4ms=", "serverKey" : "M1ofNKXg2sNCsFrBJbX4pXbSgvg=" } }, "roles" : [ { "role" : "userAdminAnyDatabase", "db" : "admin" } ] }

怎麼關閉 mongoDB？千萬不要 kill -9 pid，可以 kill -2 pid 或 db.shutdownServer()

下面使用 –auth 參 數，重新啟動 mongoDB：

mongodb-linux-i686-3.0.0/bin/mongod --auth -f mongodb-linux-i686-3.0.0/mongodb.conf

再次開啟 mongo shell：

mongodb-linux-i686-3.0.0/bin/mongouse admindb.auth("buru","12345678") #認證，返回1表示成功或mongodb-linux-i686-3.0.0/bin/mongo -u buru -p 12345678 --authenticationDatabase admin

此時

show collections

報錯

2015-03-17T10:15:56.011+0800 E QUERY Error: listCollections failed: { "ok" : 0, "errmsg" : "not authorized on admin to execute command { listCollections: 1.0 }", "code" : 13} at Error (<anonymous>) at DB._getCollectionInfosCommand (src/mongo/shell/db.js:643:15) at DB.getCollectionInfos (src/mongo/shell/db.js:655:20) at DB.getCollectionNames (src/mongo/shell/db.js:666:17) at shellHelper.show (src/mongo/shell/utils.js:625:12) at shellHelper (src/mongo/shell/utils.js:524:36) at (shellhelp2):1:1 at src/mongo/shell/db.js:643

 

因為，使用者buru只有使用者管理的許可權。

下面建立使用者，使用者都跟著庫走，建立的使用者都是

use tianhedb.createUser( { user: "bao", pwd: "12345678", roles: [ { role: "readWrite", db: "tianhe" }, { role: "read", db: "tianhe2" } ] })

查看剛剛建立的使用者。

show users{ "_id" : "tianhe.bao", "user" : "bao", "db" : "tianhe", "roles" : [ { "role" : "readWrite", "db" : "tianhe" }, { "role" : "read", "db" : "tianhe2" } ]}

查看整個mongoDB全部的使用者：

use admindb.system.users.find(){ "_id" : "admin.buru", "user" : "buru", "db" : "admin", "credentials" : { "SCRAM-SHA-1" : { "iterationCount" : 10000, "salt" : "gwVwuA/dXvxgSHavEnlyvA==", "storedKey" : "l2QEVTEujpkCuqDEKqfIWbSv4ms=", "serverKey" : "M1ofNKXg2sNCsFrBJbX4pXbSgvg=" } }, "roles" : [ { "role" : "userAdminAnyDatabase", "db" : "admin" } ] }{ "_id" : "tianhe.bao", "user" : "bao", "db" : "tianhe", "credentials" : { "SCRAM-SHA-1" : { "iterationCount" : 10000, "salt" : "//xy1V1fbqEHC1gzQqZHGQ==", "storedKey" : "ZS/o54zzl/FdcXLQJ98KdAVTfF0=", "serverKey" : "iIpNYz2Gk8KhyK3zgz6muBt0PI4=" } }, "roles" : [ { "role" : "readWrite", "db" : "tianhe" }, { "role" : "read", "db" : "tianhe2" } ] }

建立完畢，驗證一下：

use burushow collections2015-03-17T10:30:06.461+0800 E QUERY Error: listCollections failed: { "ok" : 0, "errmsg" : "not authorized on buru to execute command { listCollections: 1.0 }", "code" : 13} at Error (<anonymous>) at DB._getCollectionInfosCommand (src/mongo/shell/db.js:643:15) at DB.getCollectionInfos (src/mongo/shell/db.js:655:20) at DB.getCollectionNames (src/mongo/shell/db.js:666:17) at shellHelper.show (src/mongo/shell/utils.js:625:12) at shellHelper (src/mongo/shell/utils.js:524:36) at (shellhelp2):1:1 at src/mongo/shell/db.js:643`

 

顯然沒許可權，先auth：

db.auth("bao","12345678")1show collectionsnewssystem.indexeswahaha

完畢！

mongoDB 3.0 安全許可權存取控制