logo标签列表

您如何更改MongoDB用户权限?

mongodbrbac
31

例如,如果我有这个用户:

> db.system.users.find()
{ "user" : "testAdmin", "pwd" : "[some hash]", "roles" : [ "clusterAdmin" ], "otherDBRoles" : { "TestDB" : [ "readWrite" ]  } }

如果我想将dbAdmin权限授予那个用户在TestDB数据库上,我可以先移除该用户的记录,然后再添加带有新权限的记录:

> db.system.users.remove({"user":"testAdmin"})
> db.addUser( { user: "testAdmin",
                  pwd: "[whatever]",
                  roles: [ "clusterAdmin" ],
                  otherDBRoles: { TestDB: [ "readWrite", "dbAdmin" ] } } )

但那似乎很拙劣,容易出错。

而且我可以更新表格记录本身:

> db.system.users.update({"user":"testAdmin"}, {$set:{ otherDBRoles: { TestDB: [ "readWrite", "dbAdmin" ] }}})

但我不确定那是否创建了正确的权限-看起来没问题,但可能存在微妙的错误。

有更好的方法吗?

2个回答
22

如果您只想更新用户角色,可以按照以下方式进行操作:

db.updateUser( "userName",
               {

                 roles : [
                           { role : "dbAdmin", db : "dbName"  },
                           { role : "readWrite", db : "dbName"  }
                         ]
                }
             )

注意:这将仅覆盖该用户的角色。

updateUser不是一个函数,只接受{"user" : "userName"},字符串不够。 - benek
7

请参阅数组更新运算符

> db.users.findOne()
{
    "_id" : ObjectId("51e3e2e16a847147f7ccdf7d"),
    "user" : "testAdmin",
    "pwd" : "[some hash]",
    "roles" : [
        "clusterAdmin"
    ],
    "otherDBRoles" : {
        "TestDB" : [
            "readWrite"
        ]
    }
}
> db.users.update({"user" : "testAdmin"}, {$addToSet: {'otherDBRoles.TestDB': 'dbAdmin'}}, false, false)
> db.users.findOne()
{
    "_id" : ObjectId("51e3e2e16a847147f7ccdf7d"),
    "user" : "testAdmin"
    "pwd" : "[some hash]",
    "roles" : [
        "clusterAdmin"
    ],
    "otherDBRoles" : {
        "TestDB" : [
            "readWrite",
            "dbAdmin"
        ]
    },
}

更新:

MongoDB在每次访问时都会检查权限。如果您看到操作符 db.changeUserPassword

> db.changeUserPassword
function (username, password) {
    var hashedPassword = _hashPassword(username, password);
    db.system.users.update({user : username, userSource : null}, {$set : {pwd : hashedPassword}});
    var err = db.getLastError();
    if (err) {
        throw "Changing password failed: " + err;
    }
}

您会看到 — 操作员更改用户文档。

另请参阅system.users权限文档MongoDB身份验证委派凭据

MongoDB权限检查器在每次访问时是否从数据库中读取,还是有缓存? - Ed Norris
5
回答不错,但是还缺少一个小细节:使用db.system.users而不是db.users来执行以下命令:db.system.users.update({"user" : "testAdmin"}, {$addToSet: {'otherDBRoles.TestDB': 'dbAdmin'}}, false, false) - Michael Kennedy
只有管理员数据库支持otherDBRoles字段。 - Victor Perov
网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接