MongoDB 3.0 集群认证机制升级到SCRAM-SHA-1

本文主要介绍了如何更改MongoDB集群的认证机制，特别关注了从旧的认证方式转换到SCRAM-SHA-1的过程。 MongoDB是一个流行的NoSQL数据库系统，其安全性和认证机制对于保护数据至关重要。在MongoDB 3.0版本及以后，推荐使用SCRAM-SHA-1作为默认的身份验证机制，因为它比早期版本的MONGODB-CR（基于密码哈希）更安全。以下是更改MongoDB认证机制的步骤： 1. 设置密钥文件（keyFile）： 在MongoDB集群中启用认证时，可以使用密钥文件来实现成员间的安全通信。配置文件（如mongod.conf）中添加`keyFile`参数，并指定包含共享密钥的文件路径，例如：`keyFile=/mongodb/config/master.file`。 2. 配置复制集（replica set）： 为了确保认证在复制集中正确工作，需要配置复制集。在配置文件中添加`replSet`参数，指定复制集的名称，如`replSet=testrs`。 3. 检查当前认证版本： 登录到MongoDB的`admin`数据库，通过执行`db.system.version.findOne({"_id":"authSchema"})`查询，可以查看当前的认证模式。如果`currentVersion`为5，表示已经使用SCRAM-SHA-1。 4. 回退认证版本： 如果需要从SCRAM-SHA-1回退到MONGODB-CR，可以更新`authSchema`的`currentVersion`。首先获取当前版本：`varschema=db.system.version.findOne({"_id":"authSchema"})`，然后将`schema.currentVersion`设置为3：`schema.currentVersion=3`，并保存更改：`db.system.version.save(schema)`。确认修改已保存：`db.system.version.find()`。 5. 用户管理： 检查`admin`数据库中的系统用户，例如：`db.system.users.find()`。这会显示所有用户的详细信息，包括他们的认证凭据和角色。例子中展示了两个用户，一个是`admin`用户，拥有`userAdminAnyDatabase`角色，另一个是`test`用户，有`readWrite`角色在`test`数据库上。 在进行这些更改时，确保了解MongoDB的安全最佳实践，包括定期更新密码，限制用户权限，以及使用安全网络配置。认证机制的更改可能会影响现有连接和应用程序，因此在生产环境中操作前应充分测试和规划。在升级或更改认证模式后，必须确保所有客户端驱动程序和应用都支持新的认证机制，否则可能会遇到连接问题。