MongoDB 3.0+安全权限访问控制

k668

　　1、启动没有访问控制的MongoDB服务
　　sudo service mongod start
　　2、连接到实例
　　mongo --port 27017
　　指定额外的命令行选项来连接Mongo shell到部署Mongodb服务器, 如--host
　　3、创建的用户管理员
　　use admin
　　db.createUser(
　　{
　　user: "myUserAdmin",
　　pwd: "abc123",
　　roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]
　　}
　　)
　　4、重新启动MongoDB实例，并启用访问控制
　　1、重新启动mongod实例，如果使用配置文件的设置，security.authorization：
　　vi /etc/mongod.conf
　　修改内容：
　　

    security:　　authorization: enabled
　　
2、注意：keys and values之间一定要加空格, 否则解析会报错
　　重启服务：
　　sudo service mongod start
　　

　　5、用户管理员身份验证
　　1、创建连接mongo shell 时进行授权，指定-u , -p , and the --authenticationDatabase
　　mongo --port 27017 -u "myUserAdmin" -p "abc123" --authenticationDatabase "admin"
　　

2、mongo shell连接时不认证，使用db.auth()授权　　use admin
　　db.auth("myUserAdmin", "abc123" )
　　

　　--------------------服务器以开启认证后，如何添加用户--------------------
　　1、启动MongoDB实例的访问控制
　　启动mongod实例 AUTH命令行选项，如果使用配置文件的设置，security.authorization。
　　sudo service mongod start
　　2、通过localhost exception 连接MongoDB实例
　　添加第一个用户, 使用Localhost Exception，连接一个mongod实例。运行Mongo shell和mongod实例必须来自同一主机
　　3、同上创建用户方式相同
　　--------------------普通用户安全访问权限--------------------
　　1、启动MongoDB
　　service mongod start
　　2、再次打开MongoDB shell
　　1、mongo --port 27017 -u "myUserAdmin" -p "abc123" --authenticationDatabase "admin"
　　

2、mongo　　use admin
　　db.auth("myUserAdmin","abc123")
　　

　　
3、show collections:报错
　　因为用户myUserAdmin只用用户的管理权限
　　

　　3、创建用户,用户都跟着数据库走
　　为myuseradmin创建用户myUserAdmin在admin 数据库
　　use admin
　　db.createUser(
　　{
　　user: "myUserAdmin",
　　pwd: "abc123",
　　roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]
　　}
　　)
　　4、查看刚刚创建的用户
　　show users
　　5、查看整个MongoDB全部的用户
　　use admin
　　db.system.users.find()

　　db.system.users.find().pretty()

　　6、创建完毕、进行验证

　　use test
　　db.auth('test1','test1')
　　1
　　show collections
　　ypmlist

　　--------------------修改权限--------------------
　　1、updateuser()方法：
　　1、实例
　　db.updateUser(
　　"",
　　{
　　customData : {  },
　　roles : [
　　{ role: "", db: "" } | "",
　　...
　　],
　　pwd: ""
　　},
　　writeConcern: {  }
　　)
　　

2、参数介绍：　　1、username：要更新的用户名。
　　

　　2、update：替换用户数据的文档，此数据完全取代了用户的相应数据。
　　

　　3、writeConcern：可选，写操作级别。
　　

　　
3、指定要更新的字段和他们的新值：
　　1、customData：可选。任意信息。
　　

　　2、roles：可选。授予用户的角色。对角色数组覆盖以前的数组的值更新
　　

　　3、pwd：可选。用户密码
　　

　　--------------------修改权限操作--------------------
　　实例：

　　use admin
　　switched to db admin
　　db.auth("myUserAdmin", "abc123" )
　　1
　　use test
　　db.updateUser(
　　"test1",
　　{
　　pwd: "itcast",

　　customData: {>　　"roles" : [
　　{
　　"role" : "readWrite",
　　"db" : "test"
　　},
　　{
　　"role" : "readWrite",
　　"db" : "example"
　　}

　　

   }　　
)
　　

　　--------------------超级用户--------------------
　　use admin
　　db.createUser(
　　{
　　user: "itcast",
　　pwd: "itcast",
　　roles: [ { role: "root", db: "admin" } ]
　　}
　　)
　　2、系统默认角色：
　　1、Read：允许用户读取指定数据库
　　

2、readWrite：允许用户读写指定数据库　　

　　
3、dbAdmin：允许用户在指定数据库中执行管理函数，如索引创建、删除，查看统计或访问system.profile
　　

　　
4、userAdmin：允许用户向system.users集合写入，可以找指定数据库里创建、删除和管理用户
　　

　　
5、clusterAdmin：只在admin数据库中可用，赋予用户所有分片和复制集相关函数的管理权限。
　　

　　
6、readAnyDatabase：只在admin数据库中可用，赋予用户所有数据库的读权限
　　

　　
7、readWriteAnyDatabase：只在admin数据库中可用，赋予用户所有数据库的读写权限
　　

　　
8、userAdminAnyDatabase：只在admin数据库中可用，赋予用户所有数据库的userAdmin权限
　　

　　
9、dbAdminAnyDatabase：只在admin数据库中可用，赋予用户所有数据库的dbAdmin权限。
　　

　　
10、root：只在admin数据库中可用。超级账号，超级权限