[关闭]
@zero1036 2017-03-28T16:47:33.000000Z 字数 2117 阅读 2336

mongodb角色权限

Mongodb


mongod启动要求授权配置

查看mongod.conf配置:cat /data/mongodb/conf/mongod.conf

  1. dbpath=/data/mongodb/data/
  2. logpath=/data/mongodb/logs/mongodb.log
  3. logappend=true
  4. fork=true
  5. journal=true
  6. oplogSize=10000
  7. #smallfiles=true
  8. #noprealloc=true
  9. directoryperdb=true
  10. auth=true #auth配置为true,要求登录身份授权
  11. #keyFile=/data/mongodb/conf/keyfile
  12. #replSet=repset

mongo启动授权参数说明

cmd:./mongo -host 192.168.1.7272 -port 27017 -u tgor -p 12345 --authenticationDatabase admin

  1. -host:host
  2. -port:端口
  3. -u:用户名
  4. --authenticationDatabase:授权数据库,非常重要,参考下文

用户所属与授权数据库的区别:authenticationDatabase

--authenticationDatabase-d区别在于,前者是指登录用户所属数据库;后者是登录用户的授权数据库

参考备份工具mongodump以下例子:用户tgor必须是admin库创建的成员,且具有db1库的读写权限;

  1. ./mongodump --host 192.168.1.7272 --port 27017 --authenticationDatabase admin -d db1 -u tgor -p 12345 -c ActivityResult -o /data/test
  2. switched to db admin
  3. > db.getUsers()
  4. [
  5. {
  6. "_id" : "admin.tgor", //tgor是admin的成员
  7. "user" : "tgor",
  8. "db" : "admin",
  9. "roles" : [
  10. {
  11. "role" : "dbAdmin",
  12. "db" : "admin"
  13. },{
  14. "role" : "dbAdmin",
  15. "db" : "db1"
  16. }
  17. ]
  18. }
  19. ]

反之,如果指定所属数据库没有指定用户,则会报错auth failed

  1. ./mongodump --host 192.168.1.7272 --port 27017 --authenticationDatabase db1 -d db1 -u tgor -p 12345 -c ActivityResult -o /data/test

建立用户createUser

  1. use admin
  2. db.createUser(
  3. {
  4. user: "tgor",
  5. pwd: "12345",
  6. roles: [ { role: "__system", db: "admin" },{role: "dbAdmin", db: "MissionV2"} ]
  7. })

创建成功返回结果:

  1. Successfully added user: {
  2. "user" : "ppmoney",
  3. "roles" : [
  4. {
  5. "role" : "__system",
  6. "db" : "admin"
  7. },
  8. {
  9. "role" : "dbAdmin",
  10. "db" : "MissionV2"
  11. }
  12. ]
  13. }

角色说明

项目 价格
readAnyDatabase 对所有数据库中的collection可读,同时包含listDatabases权限
readWriteAnyDatabase 对所有数据库中的collection可读且可写,同时包含listDatabases权限
userAdminAnyDatabase 对所有数据库拥有userAdmin角色,同时包含listDatabases权限
dbAdminAnyDatabase 对所有数据库拥有dbAdmin角色,同时包含listDatabases权限
cluster 相关的权限 clusterMonitor、hostManager、clusterManager、clusterAdmin
root 包含 readWriteAnyDatabase, dbAdminAnyDatabase, userAdminAnyDatabase 和 clusterAdmin 等角色。 但不能访问system. 开头的collection(root does not include any access to collections that begin with the system. prefix.)
__system 超级管理员

删除用户dropUser

  1. db.createUser(
  2. {
  3. user: "ppmoney",
  4. pwd: "Da3LzMogT88DjDleiE8",
  5. roles: [ { role: "__system", db: "admin" },{role: "dbAdmin", db: "MissionV2"} ]
  6. })

查看用户角色getUsers

  1. db.getUsers()
  2. [
  3. {
  4. "_id" : "admin.ppmoney",
  5. "user" : "tgor",
  6. "db" : "admin",
  7. "roles" : [
  8. {
  9. "role" : "__system",
  10. "db" : "admin"
  11. },
  12. {
  13. "role" : "dbAdmin",
  14. "db" : "db1"
  15. }
  16. ]
  17. }
  18. ]
添加新批注
在作者公开此批注前,只有你和作者可见。
回复批注