mongodb - MongoDB - 未授权添加副本集成员,但 Mongo Auth 已禁用
问题描述
我计划的步骤(我的目标):
- 创建 3 个 Mongo 主机
- 启动复制 (
rs.initiate()
) - 将主机添加到复制集
- 在主节点上启用身份验证(应该跨集群同步用户/角色/身份验证设置??)
在副本集配置期间禁用了身份验证,但是在尝试添加成员时,我得到“本地未授权执行命令”。
以下是我在尚未启用身份验证的全新 Mongo 安装上运行的步骤 ---
检查--auth
是否未启用:
root@3106f5453c95:/# ps -ef |grep mongod
mongodb 1 0 1 16:34 ? 00:00:01 mongod --bind_ip_all --config /etc/mongod.conf
mongod.conf
systemLog:
destination: file
path: "/var/log/mongodb/mongod.log"
logAppend: true
replication:
replSetName: rsprod
security:
keyFile: /data/db/replicaSetKey.key
以下命令在 3 节点集中的一台主机上运行:
启动副本集没有问题:
root@b902fd176bdd:/# mongo --eval 'rs.initiate()'
MongoDB shell version v3.6.3
connecting to: mongodb://127.0.0.1:27017
MongoDB server version: 3.6.3
{
"info2" : "no configuration specified. Using a default configuration for the set",
"me" : "b902fd176bdd:27017",
"ok" : 1,
"operationTime" : Timestamp(1526490381, 1),
"$clusterTime" : {
"clusterTime" : Timestamp(1526490381, 1),
"signature" : {
"hash" : BinData(0,"AAAAAAAAAAAAAAAAAAAAAAAAAAA="),
"keyId" : NumberLong(0)
}
}
}
然后添加一个主机(它被拒绝):
root@b902fd176bdd:/# mongo --eval 'rs.add("myhost.example.com:27017")'
MongoDB shell version v3.6.3
connecting to: mongodb://127.0.0.1:27017
MongoDB server version: 3.6.3
2018-05-16T17:07:20.860+0000 E QUERY [thread1] Error: count failed: {
"operationTime" : Timestamp(1526490432, 1),
"ok" : 0,
"errmsg" : "not authorized on local to execute command { count: \"system.replset\", query: {}, fields: {}, $clusterTime: { clusterTime: Timestamp(1526490432, 1), signature: { hash: BinData(0, 5DC7E35270B286518353EDADEBF474074AD1140A), keyId: 6556226268348547073 } }, $db: \"local\" }",
"code" : 13,
"codeName" : "Unauthorized",
"$clusterTime" : {
"clusterTime" : Timestamp(1526490432, 1),
"signature" : {
"hash" : BinData(0,"XcfjUnCyhlGDU+2t6/R0B0rRFAo="),
"keyId" : NumberLong("6556226268348547073")
}
}
} :
_getErrorWithCode@src/mongo/shell/utils.js:25:13
DBQuery.prototype.count@src/mongo/shell/query.js:383:11
DBCollection.prototype.count@src/mongo/shell/collection.js:1584:12
rs.add@src/mongo/shell/utils.js:1274:1
@(shell eval):1:1
我的理解是身份验证角色不是副本集的要求,那么我在这里做错了什么?
解决方案
找了找问题,终于找到了。
这是整个问题的原因:
keyFile 意味着 security.authorization。
https://docs.mongodb.com/manual/reference/configuration-options/#security.keyFile
因此,如果您对集群使用 KeyFile,您也必须使用授权。这在文档中非常隐藏,但显然它非常重要。
所以操作顺序应该是:
- 初始化数据库
- 创建用户/角色
- 启用身份验证后重新启动数据库
- 配置复制
要么就是这样,要么不为集群使用 keyFile。
推荐阅读
- javascript - 将复选框列添加到剑道网格
- javascript - 堆叠循环的大问题是什么?
- javascript - 基于具有 JavaScript 值的 PHP MySQL 表中的值进行选择
- android - Flutter 打开/关闭设置导致 main() 再次运行
- json - 在括号外添加内容时,使用 json 的 Netbeans 令牌解析错误
- ruby-on-rails - 带有值数组的 JSONB 哈希的 Rails 范围
- r - 如何计算从一种状态到另一种状态的转换次数?
- jmeter - jmeter:避免在 ForEach 控制器中重复执行
- java - 无法从junit测试访问测试资源
- c# - UnauthorizedAccessException:访问路径被拒绝