MongoDB - не авторизован для добавления члена набора реплик, но аутентификация Mongo отключена

Question

Мои запланированные шаги (моя цель):

• Создание 3x хостов Mongo
• Запуск репликации (rs.initiate())
• Добавление хостов в набор репликации
• Включить аутентификацию на первичном сервере (который должен синхронизировать настройки пользователя / роли / аутентификации в кластере ??)

Аутентификация отключена во время настройки набора реплик, однако я 'я получаю «не авторизовано на локальном компьютере для выполнения команды» при попытке добавить участника.

Вот шаги, которые я выполняю на новой совершенно новой установке Mongo без аутентификации, пока включенной ---

Убедитесь, что --auth не включен:

root@3106f5453c95:/# ps -ef |grep mongod
mongodb      1     0  1 16:34 ?        00:00:01 mongod --bind_ip_all --config /etc/mongod.conf

mongod.conf

systemLog:
   destination: file
   path: "/var/log/mongodb/mongod.log"
   logAppend: true
replication:
   replSetName: rsprod
security:
   keyFile: /data/db/replicaSetKey.key

На одном из хостов в наборе из 3 узлов выполняются следующие команды:

Инициировать набор реплик без проблем:

root@b902fd176bdd:/# mongo --eval 'rs.initiate()'
MongoDB shell version v3.6.3
connecting to: mongodb://127.0.0.1:27017
MongoDB server version: 3.6.3
{
    "info2" : "no configuration specified. Using a default configuration for the set",
    "me" : "b902fd176bdd:27017",
    "ok" : 1,
    "operationTime" : Timestamp(1526490381, 1),
    "$clusterTime" : {
        "clusterTime" : Timestamp(1526490381, 1),
        "signature" : {
            "hash" : BinData(0,"AAAAAAAAAAAAAAAAAAAAAAAAAAA="),
            "keyId" : NumberLong(0)
        }
    }
}

Затем добавляем хост (он запрещен):

root@b902fd176bdd:/# mongo --eval 'rs.add("myhost.example.com:27017")'
MongoDB shell version v3.6.3
connecting to: mongodb://127.0.0.1:27017
MongoDB server version: 3.6.3
2018-05-16T17:07:20.860+0000 E QUERY    [thread1] Error: count failed: {
    "operationTime" : Timestamp(1526490432, 1),
    "ok" : 0,
    "errmsg" : "not authorized on local to execute command { count: \"system.replset\", query: {}, fields: {}, $clusterTime: { clusterTime: Timestamp(1526490432, 1), signature: { hash: BinData(0, 5DC7E35270B286518353EDADEBF474074AD1140A), keyId: 6556226268348547073 } }, $db: \"local\" }",
    "code" : 13,
    "codeName" : "Unauthorized",
    "$clusterTime" : {
        "clusterTime" : Timestamp(1526490432, 1),
        "signature" : {
            "hash" : BinData(0,"XcfjUnCyhlGDU+2t6/R0B0rRFAo="),
            "keyId" : NumberLong("6556226268348547073")
        }
    }
} :
_getErrorWithCode@src/mongo/shell/utils.js:25:13
DBQuery.prototype.count@src/mongo/shell/query.js:383:11
DBCollection.prototype.count@src/mongo/shell/collection.js:1584:12
rs.add@src/mongo/shell/utils.js:1274:1
@(shell eval):1:1

Насколько я понимаю, роли авторизации не требовались для наборов реплик, так что я тут делаю неправильно?

Answer 1

Нашел проблему путем поиска и наконец нашел ее.

Вот причина всей проблемы:

keyFile подразумевает авторизацию безопасности.

https://docs.mongodb.com/manual/reference/configuration-options/#security.keyFile

Итак, если вы используете KeyFile для кластера, вы ДОЛЖНЫ также использовать авторизацию. Это довольно скрыто в документации, но, безусловно, это очень важно.

Таким образом, порядок операций должен быть:

• Инициализация баз данных
• Создание пользователей / ролей
• Перезапустить БД с включенной аутентификацией
• Настройка репликации

Это либо так, либо не использовать ключевой файл для кластера.