MongoDB权限管理
Posted wuchangsoft
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了MongoDB权限管理相关的知识,希望对你有一定的参考价值。
打开shell客户端的方法:mongo.关闭数据库引擎的话可以使用db.shutdownServer().
一、shell命令
MongoDB的shell提供了一些命令,可以从shell提示符执行它们。
help<option>:用于为MongoDB的shell命令显示语法帮助。option参数允许指定你想得到帮助的特定领域。
use<database>:更改当前database句柄。数据库操作将在当前数据库句柄上处理。
show<option>:根据option参数显示清单.
dbs:显示数据库清单。
collections:显示当前数据库的集合清单。
profile:显示时间超过1毫秒的最新的system.profile条目。
log[name]:显示登录记忆的最后一段。如果没指定name,那么使用global。
exit:退出数据库。
二、shell方法
MongoDB中的shell提供了许多用于执行管理功能的方法。
load(script):在shell内部加载和运行javascript文件。要对数据库脚本操作,使用它是一种最好的方式。
UUID(string):把一个32字节的十六进制字符串转换成BSON的UUID。
db.auth(username,password):在当前数据库进行身份认证。
三、使用shell编写脚本
命令、方法和MongoDB shell的数据结构都是基于交互式Javascript的。管理MongoDB的一个很好的方法是创建可以运行多次的脚本,或者可以随时在特定的时间运行的脚本,如在升级时运行的脚本。脚本文件可以包含任意数量的MongoDB命令,使用javascript代码,如条件语句和循环。有两种运行MongoDB shell脚本的方式。
1.使用--eval
该--eval参数接受一个Javascript字符串或Javascript文件并启动MongoDB的shell,并立即执行Javascript。
2.使用load(script_path)方法运行MongoDB脚本。
四、管理用户账号
1.创建用户账号
不管是创建用户管理员账号还是数据库管理员账号都是用addUser()方法添加用户账户,MongoDB 3.0之后用createUser()代替,再用adduser()会提示adduser()不是function,下面的截图能看到提示,该方法接受一个document对象,允许指定该用户的用户名、角色和密码。下面是document对象可以指定的字段:
user string 指定一个唯一的用户名
roles array 指定用户角色的数组。MongoDB提供了大量可以分配给用户的角色。角色不同对应的权限也不一样,这篇主要还是在角色上
pwd hashorstring (可选)指定用户的密码。在创建用户时,这可能是一个散列值或字符串,然而它以散列值被存储在数据库中。
userSource <database> (可选)代替pwd字段,指向具有相同的用户定义的另一个数据库。pwd或那个数据库的userSource然后被用作该用户的凭据。userSource字段和pwd字段是相互排斥的,一个文档不能同时包含两者。
otherDBRoles {<database>:[array],<database>:[array]} :(可选) 允许指定这个用户在其他数据库中的拥有的角色。它的格式是一个文档,该文档用数据库名称作为键,包括那个数据库适用于该用户的角色的数组。
2.角色
用户和角色是多对多的关系,一个用户可以对应多个角色,一个角色可以拥有多个用户。用户角色的不同对应的权限也是不一样的。下面是一些分配给用户的常见的角色。
read 允许用户从数据库的任何集合中读取数据
readAnyDatabase 同read,但针对所有数据库
readwrite 提供read的所有功能,并允许用户写数据库中的任何集合,包括插入、删除和更新文件,以及创建、重命名和删除集合
readWriteAnyDatabase 同readWrite,只是针对所有数据库
dbAdmin 允许用户读取和写入数据库,以及清理、修改、压缩、得到统计概要,并进行验证
dbAdminAnyDatabase 同dbadmin,但针对所有数据库
clusterAdmin 允许用户对MongoDB执行一般的管理,包括连接、集群、复制、列出数据库、创建数据库和删除数据库
userAdmin 允许用户创建和修改数据库的用户账号
userAdminAnyDatabase 同userAdmin,但针对所有的数据库
3.删除用户账号
可以使用removeUser(<username>)方法删除MongoDB的用户。需要先切换到该用户所在的数据库。在MongoDB 3.0后使用dropUser(<username>),下面配置时截图就能看到提示。
五、配置访问控制
MongoDB提供在数据库级别上的验证和授权,意味着用户存在于单个数据库的上下文中。为了实现基本的身份验证,MongoDB把用户凭据存储在每个数据中名为system.users的集合中。
当还没在admin数据库中定义用户时,MongoDB允许在本地主机上的连接有对数据库的完全管理访问。因此,设置新的MongoDB实例的第一步是创建用户管理员和数据库管理员账户。用户管理员具有在admin和其他数据库中创建用户账户的功能。还需要创建一个可以当作超级用户使用的数据库管理员账户,用来管理数据库、集群、复制和MongoDB的其他方面。
1.创建用户管理员
用户管理员账号应只有创建用户的权限,而没有管理数据库或其他管理功能。使数据库管理和用户账户管理完全分离。用户管理账户应该以userAdminAnyDatabase作为唯一的角色来创建。
上面截图可以看到使用用户管理员账户来查询collection是报错,这是因为用户管理员账户只是用来管理用户的,不能管理数据库。
2.打开身份验证
用户管理员账户已经创建需要使用--auth参数重启MongoDB数据库
3.创建数据库管理员
上面截图中创建了一个admin数据库的数据库管理员,使用数据库管理员显示collections是可以显示的,而使用用户管理员显示时报错。
在原有基础上增加用户权限,db.grantRolesToUser("jianlong",[{role:\'readWrite\',db:\'test\'}])
Read:允许用户读取指定数据库
readWrite:允许用户读写指定数据库
dbAdmin:允许用户在指定数据库中执行管理函数,如索引创建、删除,查看统计或访问system.profile
userAdmin:允许用户向system.users集合写入,可以找指定数据库里创建、删除和管理用户
clusterAdmin:只在admin数据库中可用,赋予用户所有分片和复制集相关函数的管理权限。
readAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的读权限
readWriteAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的读写权限
userAdminAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的userAdmin权限
dbAdminAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的dbAdmin权限。
root:只在admin数据库中可用。超级账号,超级权限
(1).数据库用户角色
针对每一个数据库进行控制。
read :提供了读取所有非系统集合,以及系统集合中的system.indexes,
system.js, system.namespaces
readWrite: 包含了所有read权限,以及修改所有非系统集合的和系统集合中的system.js的权限.
(2).数据库管理角色
每一个数据库包含了下面的数据库管理角色。
dbOwner:该数据库的所有者,具有该数据库的全部权限。
dbAdmin:一些数据库对象的管理操作,但是没有数据库的读写权限。(参考:http://docs.mongodb.org/manual/reference/built-in-roles/#dbAdmin)
userAdmin:为当前用户创建、修改用户和角色。拥有userAdmin权限的用户可以将该数据库的任意权限赋予任意的用户。
(3).集群管理权限
admin数据库包含了下面的角色,用户管理整个系统,而非单个数据库。这些权限包含了复制集和共享集群的管理函数。
clusterAdmin:提供了最大的集群管理功能。相当于clusterManager,
clusterMonitor, and hostManager和dropDatabase的权限组合。
clusterManager:提供了集群和复制集管理和监控操作。拥有该权限的用户可以操作config和local数据库(即分片和复制功能)
clusterMonitor:仅仅监控集群和复制集。
hostManager:提供了监控和管理服务器的权限,包括shutdown节点,logrotate, repairDatabase等。
备份恢复权限:admin数据库中包含了备份恢复数据的角色。包括backup、restore等等。
(4).所有数据库角色
admin数据库提供了一个mongod实例中所有数据库的权限角色:
readAnyDatabase:具有read每一个数据库权限。但是不包括应用到集群中的数据库。
readWriteAnyDatabase:具有readWrite每一个数据库权限。但是不包括应用到集群中的数据库。
userAdminAnyDatabase:具有userAdmin每一个数据库权限,但是不包括应用到集群中的数据库。
dbAdminAnyDatabase:提供了dbAdmin每一个数据库权限,但是不包括应用到集群中的数据库。
(5). 超级管理员权限
root: dbadmin到admin数据库、useradmin到admin数据库以及UserAdminAnyDatabase。但它不具有备份恢复、直接操作system.*集合的权限,但是拥有root权限的超级用户可以自己给自己赋予这些权限。
(6). 备份恢复角色:backup、restore;
(7). 内部角色:__system
PS:关于每个角色所拥有的操作权限可以点击上面的内置角色链接查看详情
以上是关于MongoDB权限管理的主要内容,如果未能解决你的问题,请参考以下文章