web-dev-qa-db-fra.com

Comment modifiez-vous les autorisations utilisateur de MongoDB?

Par exemple, si j'ai cet utilisateur:

> db.system.users.find()
{ "user" : "testAdmin", "pwd" : "[some hash]", "roles" : [ "clusterAdmin" ], "otherDBRoles" : { "TestDB" : [ "readWrite" ]  } }

Et je veux donner à cet utilisateur les autorisations dbAdmin sur la base de données TestDB, je peux supprimer l'enregistrement utilisateur puis l'ajouter à nouveau avec les nouvelles autorisations:

> db.system.users.remove({"user":"testAdmin"})
> db.addUser( { user: "testAdmin",
                  pwd: "[whatever]",
                  roles: [ "clusterAdmin" ],
                  otherDBRoles: { TestDB: [ "readWrite", "dbAdmin" ] } } )

Mais cela semble hacky et sujet aux erreurs.

Et je peux mettre à jour l'enregistrement de table lui-même:

> db.system.users.update({"user":"testAdmin"}, {$set:{ otherDBRoles: { TestDB: [ "readWrite", "dbAdmin" ] }}})

Mais je ne suis pas sûr que cela crée vraiment les autorisations correctes - cela semble bien mais cela peut être subtilement faux.

Y a-t-il une meilleure manière de faire cela?

mongodbrbac
23
Ed Norris

Si vous souhaitez simplement mettre à jour le rôle de l'utilisateur. Vous pouvez faire de la manière suivante

db.updateUser( "userName",
               {

                 roles : [
                           { role : "dbAdmin", db : "dbName"  },
                           { role : "readWrite", db : "dbName"  }
                         ]
                }
             )

Remarque: - Cela remplacera uniquement les rôles de cet utilisateur.

8
Vaibhav

Voir opérateurs de mise à jour de tablea .

> db.users.findOne()
{
    "_id" : ObjectId("51e3e2e16a847147f7ccdf7d"),
    "user" : "testAdmin",
    "pwd" : "[some hash]",
    "roles" : [
        "clusterAdmin"
    ],
    "otherDBRoles" : {
        "TestDB" : [
            "readWrite"
        ]
    }
}
> db.users.update({"user" : "testAdmin"}, {$addToSet: {'otherDBRoles.TestDB': 'dbAdmin'}}, false, false)
> db.users.findOne()
{
    "_id" : ObjectId("51e3e2e16a847147f7ccdf7d"),
    "user" : "testAdmin"
    "pwd" : "[some hash]",
    "roles" : [
        "clusterAdmin"
    ],
    "otherDBRoles" : {
        "TestDB" : [
            "readWrite",
            "dbAdmin"
        ]
    },
}

Mise à jour :

MongoDB vérifie l'autorisation sur chaque accès. Si vous voyez l'opérateur db.changeUserPassword:

> db.changeUserPassword
function (username, password) {
    var hashedPassword = _hashPassword(username, password);
    db.system.users.update({user : username, userSource : null}, {$set : {pwd : hashedPassword}});
    var err = db.getLastError();
    if (err) {
        throw "Changing password failed: " + err;
    }
}

Vous verrez - l'opérateur change le document de l'utilisateur.

Voir également system.users Documents Privilège et Informations d'identification déléguées pour l'authentification MongoDB

7
Vladimir Korshunov