Centro de Conocimiento DevOps
Centro de Conocimiento DevOps

Solución de problemas comunes de autenticación SCRAM en MongoDB

Domine la solución de problemas de autenticación SCRAM en MongoDB. Esta guía detalla las causas comunes de rechazos de conexión y fallos de autenticación, centrándose en la configuración incorrecta del cliente (authMechanism, authSource), los errores comunes en la creación de usuarios y la configuración necesaria del servidor. Aprenda pasos prácticos para asegurar su implementación de MongoDB de manera eficiente.

33 vistas

Solución de problemas de errores comunes de autenticación SCRAM en MongoDB

Configurar la seguridad en MongoDB es crucial para proteger los datos sensibles. Las implementaciones modernas de MongoDB dependen en gran medida de SCRAM (Salted Challenge Response Authentication Mechanism) para una autenticación segura basada en contraseñas. Sin embargo, implementar y administrar SCRAM a veces puede generar frustrantes errores de conexión y denegaciones de acceso.

Esta guía sirve como un manual práctico de solución de problemas para identificar y resolver los problemas más frecuentes que se encuentran al configurar o utilizar la autenticación SCRAM en MongoDB. Al comprender los escollos comunes relacionados con la creación de usuarios, la asignación de roles y la configuración del cliente, puede restaurar rápidamente el acceso seguro a la base de datos.

Comprensión de SCRAM en MongoDB

SCRAM es el mecanismo de autenticación predeterminado en las versiones recientes de MongoDB (comenzando firmemente con MongoDB 3.0+ y evolucionando a través de SCRAM-SHA-256, el estándar actual). Proporciona un sólido hash de contraseñas y evita que las contraseñas se transmitan en texto plano a través de la red, lo cual es una mejora de seguridad importante con respecto a los métodos más antiguos.

Al solucionar problemas, recuerde que las fallas de autenticación generalmente provienen de una de estas tres áreas: Configuración del servidor, Definición del usuario o Sintaxis de conexión del cliente.

Categoría de error común 1: Conexión rechazada o autenticación fallida (lado del cliente)

Este es el síntoma más común: los clientes no pueden conectarse, lo que a menudo resulta en mensajes como Authentication failed. (Autenticación fallida) o Connection refused (Conexión rechazada) cuando la autenticación se aplica estrictamente.

1. Mecanismo de autenticación incorrecto especificado

Si su implementación de MongoDB requiere SCRAM, pero el cliente intenta utilizar un mecanismo antiguo o no compatible (como MONGODB-CR), la conexión fallará inmediatamente.

Solución: Asegúrese de que su cadena de conexión o la configuración del controlador soliciten explícitamente SCRAM.

Para los clientes que son compatibles con controladores modernos, la cadena de conexión a menudo especifica el mecanismo de autenticación (authMechanism). Para las implementaciones modernas que utilizan SCRAM-SHA-256 (recomendado):

mongodb://user:password@host:27017/dbname?authSource=admin&authMechanism=SCRAM-SHA-256

Consejo: Si omite authMechanism en un servidor configurado solo para SCRAM, el controlador debería establecer la configuración predeterminada correctamente, pero especificarlo explícitamente elimina la ambigüedad.

2. Uso de authSource incorrecto

En MongoDB, el parámetro authSource especifica la base de datos donde se define la cuenta de usuario. Si su usuario existe en la base de datos admin, pero se conecta especificando authSource=myappdb, el servidor no puede encontrar las credenciales.

Escenario de ejemplo: El usuario app_user fue creado en la base de datos admin.

Conexión incorrecta:

mongodb://app_user:password@localhost:27017/myappdb?authSource=myappdb

Conexión correcta:

mongodb://app_user:password@localhost:27017/myappdb?authSource=admin

3. Problemas de red o de enlace que enmascaran fallos de autenticación

A veces, un problema de conexión parece ser un fallo de autenticación cuando en realidad es un problema de enlace de red. Si la instancia mongod solo está vinculada a 127.0.0.1 (localhost), los clientes remotos recibirán un rechazo de conexión incluso antes de intentar la autenticación.

Acción: Verifique que net.bindIp en su mongod.conf permita las conexiones desde la IP del cliente (por ejemplo, 0.0.0.0 para todas las interfaces, o IPs específicas).

Categoría de error común 2: Errores de creación de usuarios y asignación de roles

Los fallos de autenticación a menudo tienen su origen en cómo se creó el usuario o qué privilegios se le asignaron.

1. Usuario creado sin contraseña (o formato incorrecto)

Si intenta crear un usuario usando la shell mongosh o mongo sin proporcionar una contraseña válida, el proceso de creación puede fallar silenciosamente o resultar en un usuario que no puede autenticarse correctamente a través de SCRAM.

Mejor práctica para la creación: Siempre especifique una contraseña segura y asegúrese de estar utilizando el mecanismo SCRAM recomendado durante la creación del usuario.

// Conéctese primero como usuario administrador
use admin

// Cree el usuario con SCRAM-SHA-256 (recomendado)
db.createUser(
  {
    user: "reader_role",
    pwd: passwordPrompt(), // Solicitar contraseña de forma segura
    roles: [ { role: "read", db: "mydatabase" } ]
  }
)

2. Roles faltantes o incorrectos

Una fuente común de confusión es conectarse con éxito pero descubrir que el usuario no puede realizar la operación deseada (por ejemplo, no puede leer datos, no puede escribir). Esto no es un fallo de autenticación, sino un fallo de autorización, que a menudo se presenta de manera similar al usuario final.

Solución de problemas de autorización:

  1. Verificar la asignación de roles: Use show users en la base de datos correcta (authSource) para confirmar que el usuario existe y tiene los roles esperados.
  2. Verificar roles heredados: Si utiliza roles personalizados, asegúrese de que hereden correctamente los roles integrados necesarios (como read o readWrite).
  3. Contexto de conexión: Recuerde que los roles solo son válidos en la base de datos especificada durante la creación (o en la DB admin para roles a nivel de clúster).

Si un usuario intenta leer de dbA pero solo tiene roles en dbB, la operación fallará.

3. Desajuste de la versión de SCRAM durante la actualización

Al actualizar MongoDB, los usuarios antiguos aún pueden estar mapeados utilizando el mecanismo heredado MONGODB-CR. Si el servidor está configurado para aceptar solo SCRAM-SHA-256, estos usuarios antiguos no podrán iniciar sesión.

Resolución: Debe actualizar explícitamente el método de autenticación para el usuario existente después de actualizar la configuración del servidor.

Utilice el comando changePassword, que fuerza un nuevo hash utilizando la configuración predeterminada actual del servidor:

// Actualizar la contraseña del usuario, actualizando implícitamente el mecanismo si es necesario
db.changePassword(
  "old_user",
  "new_secure_password",
  { authenticationDatabase: "admin" }
)

Categoría de error común 3: Problemas de configuración del servidor

Si varios clientes no pueden conectarse, el problema probablemente reside en el archivo de configuración de mongod (mongod.conf).

1. Autenticación no habilitada

Si la autenticación está completamente deshabilitada, los clientes que se conectan sin credenciales podrían tener éxito, o podrían ser bloqueados inesperadamente si el cliente intenta autenticarse de todos modos. A la inversa, si la autenticación es necesaria, pero la configuración es incorrecta, las conexiones fallan.

Asegúrese de que la sección de seguridad en mongod.conf esté configurada correctamente:

security:
  authorization: enabled

2. Enlace a una interfaz incorrecta

Como se mencionó anteriormente, si net.bindIp es demasiado restrictivo, los clientes externos no pueden alcanzar el servicio de autenticación.

Ejemplo en mongod.conf:

  • Solo acceso local: bindIp: 127.0.0.1 (Falla las conexiones remotas)
  • Recomendado para la nube/red interna: bindIp: 0.0.0.0 (Permite conexiones desde cualquier interfaz, pero requiere reglas de firewall sólidas)

3. Uso de una versión de SCRAM no compatible

Si establece explícitamente setParameter: { authSchemaVersion: 1 } (heredado), podría impedir que los clientes utilicen SCRAM-SHA-256, forzando la dependencia de mecanismos más antiguos y menos seguros que pueden no ser compatibles con los controladores modernos.

Mejor práctica: Para las instalaciones modernas de MongoDB (4.0+), debe intentar utilizar authSchemaVersion: 4 (predeterminado para SCRAM-SHA-256). Evite establecer explícitamente las versiones del esquema a menos que sea necesario para la compatibilidad con versiones anteriores con clientes muy antiguos.

Lista de verificación resumida para fallos de autenticación SCRAM

Al solucionar problemas, siga esta secuencia:

  1. Estado del servidor: ¿Está habilitado security.authorization en mongod.conf?
  2. Verificación de red: ¿Puede el cliente alcanzar la IP y el puerto del servidor (use netstat o telnet)?
  3. URI del cliente: ¿Se especifica authMechanism=SCRAM-SHA-256 (si es necesario)?
  4. authSource: ¿Coincide el authSource con la base de datos donde se creó el usuario?
  5. Existencia del usuario: ¿Existe el usuario en la base de datos authSource especificada?
  6. Contraseña/Roles: ¿Es correcta la contraseña y posee el usuario los roles mínimos requeridos para la acción prevista?

Al verificar metódicamente estos puntos de configuración, la mayoría de los errores de autenticación SCRAM en MongoDB se pueden aislar y resolver rápidamente.