Hub de Connaissances DevOps
Hub de Connaissances DevOps

Dépannage des erreurs d'authentification SCRAM courantes dans MongoDB

Maîtriser le dépannage de l'authentification SCRAM dans MongoDB. Ce guide détaille les causes courantes des refus de connexion et des échecs d'authentification, en se concentrant sur une configuration client incorrecte (authMechanism, authSource), les pièges de la création d'utilisateurs et les paramètres serveur nécessaires. Apprenez des étapes pratiques pour sécuriser efficacement votre déploiement MongoDB.

34 vues

Dépannage des erreurs d'authentification SCRAM courantes dans MongoDB

La configuration de la sécurité dans MongoDB est cruciale pour protéger les données sensibles. Les déploiements MongoDB modernes s'appuient fortement sur SCRAM (Salted Challenge Response Authentication Mechanism) pour une authentification sécurisée basée sur un mot de passe. Cependant, la mise en œuvre et la gestion de SCRAM peuvent parfois entraîner des erreurs de connexion frustrantes et des refus d'accès.

Ce guide sert de manuel pratique de dépannage pour identifier et résoudre les problèmes les plus fréquents rencontrés lors de la configuration ou de l'utilisation de l'authentification SCRAM dans MongoDB. En comprenant les écueils courants liés à la création d'utilisateurs, à l'attribution de rôles et à la configuration du client, vous pouvez rapidement rétablir un accès sécurisé à la base de données.

Comprendre SCRAM dans MongoDB

SCRAM est le mécanisme d'authentification par défaut dans les versions récentes de MongoDB (à partir de MongoDB 3.0+ et évoluant vers SCRAM-SHA-256, la norme actuelle). Il fournit un hachage de mot de passe robuste et empêche la transmission des mots de passe en clair sur le réseau, ce qui constitue une amélioration majeure de la sécurité par rapport aux méthodes plus anciennes.

Lors du dépannage, rappelez-vous que les échecs d'authentification proviennent généralement de l'un des trois domaines : Configuration du serveur, Définition de l'utilisateur ou Syntaxe de connexion du client.

Catégorie d'erreur courante 1 : Connexion refusée ou authentification échouée (côté client)

C'est le symptôme le plus courant : les clients ne parviennent pas à se connecter, aboutissant souvent à des messages tels que Authentication failed. ou Connection refused lorsque l'authentification est strictement appliquée.

1. Mécanisme d'authentification spécifié incorrect

Si votre déploiement MongoDB requiert SCRAM, mais que le client tente d'utiliser un mécanisme plus ancien ou non pris en charge (comme MONGODB-CR), la connexion échouera immédiatement.

Solution : Assurez-vous que votre chaîne de connexion ou la configuration de votre pilote demande explicitement SCRAM.

Pour les clients prenant en charge les pilotes modernes, la chaîne de connexion spécifie souvent le mécanisme d'authentification (authMechanism). Pour les déploiements modernes utilisant SCRAM-SHA-256 (recommandé) :

mongodb://user:password@host:27017/dbname?authSource=admin&authMechanism=SCRAM-SHA-256

Astuce : Si vous omettez authMechanism sur un serveur configuré uniquement pour SCRAM, le pilote devrait utiliser la valeur par défaut correctement, mais la définition explicite élimine toute ambiguïté.

2. Utilisation du mauvais authSource

Dans MongoDB, le paramètre authSource spécifie la base de données dans laquelle le compte utilisateur est défini. Si votre utilisateur existe dans la base de données admin, mais que vous vous connectez en spécifiant authSource=myappdb, le serveur ne pourra pas trouver les informations d'identification.

Scénario d'exemple : L'utilisateur app_user a été créé dans la base de données admin.

Connexion incorrecte :

mongodb://app_user:password@localhost:27017/myappdb?authSource=myappdb

Connexion correcte :

mongodb://app_user:password@localhost:27017/myappdb?authSource=admin

3. Problèmes réseau ou de liaison masquant les échecs d'authentification

Parfois, un problème de connexion semble être un échec d'authentification alors qu'il s'agit en réalité d'un problème de liaison réseau. Si l'instance mongod est uniquement liée à 127.0.0.1 (localhost), les clients distants recevront un refus de connexion avant même de tenter l'authentification.

Action : Vérifiez que net.bindIp dans votre mongod.conf autorise les connexions depuis l'adresse IP du client (par exemple, 0.0.0.0 pour toutes les interfaces, ou des IP spécifiques).

Catégorie d'erreur courante 2 : Erreurs de création d'utilisateur et d'attribution de rôle

Les échecs d'authentification sont souvent liés à la manière dont l'utilisateur a été créé ou aux privilèges qui lui ont été attribués.

1. Utilisateur créé sans mot de passe (ou format incorrect)

Si vous tentez de créer un utilisateur à l'aide du shell mongosh ou mongo sans fournir de mot de passe valide, le processus de création peut échouer silencieusement ou aboutir à un utilisateur qui ne peut pas s'authentifier avec succès via SCRAM.

Meilleure pratique pour la création : Spécifiez toujours un mot de passe fort et assurez-vous d'utiliser le mécanisme SCRAM recommandé lors de la création de l'utilisateur.

// Connectez-vous d'abord en tant qu'utilisateur admin
use admin

// Créez un utilisateur avec SCRAM-SHA-256 (recommandé)
db.createUser(
  {
    user: "reader_role",
    pwd: passwordPrompt(), // Demande sécurisée du mot de passe
    roles: [ { role: "read", db: "mydatabase" } ]
  }
)

2. Rôles manquants ou incorrects

Une source fréquente de confusion est la connexion réussie, mais constatant que l'utilisateur ne peut pas effectuer l'opération souhaitée (par exemple, ne peut pas lire les données, ne peut pas écrire). Il ne s'agit pas d'un échec d'authentification, mais d'un échec d' autorisation, qui se présente souvent de manière similaire pour l'utilisateur final.

Dépannage de l'autorisation :

  1. Vérifiez l'attribution des rôles : Utilisez show users dans la base de données correcte (authSource) pour confirmer que l'utilisateur existe et possède les rôles attendus.
  2. Vérifiez les rôles hérités : Si vous utilisez des rôles personnalisés, assurez-vous qu'ils héritent correctement des rôles intégrés nécessaires (tels que read ou readWrite).
  3. Contexte de connexion : N'oubliez pas que les rôles ne sont valides que sur la base de données spécifiée lors de la création (ou la base de données admin pour les rôles au niveau du cluster).

Si un utilisateur essaie de lire à partir de dbA mais n'a que des rôles sur dbB, l'opération échouera.

3. Incompatibilité de version SCRAM lors de la mise à niveau

Lors de la mise à niveau de MongoDB, les anciens utilisateurs peuvent encore être mappés en utilisant le mécanisme hérité MONGODB-CR. Si le serveur est configuré pour n'accepter que SCRAM-SHA-256, ces anciens utilisateurs ne pourront pas se connecter.

Résolution : Vous devez explicitement mettre à jour la méthode d'authentification de l'utilisateur existant après la mise à niveau de la configuration du serveur.

Utilisez la commande changePassword, qui force un nouveau hachage en utilisant les valeurs par défaut actuelles du serveur :

// Mettez à jour le mot de passe de l'utilisateur, en mettant implicitement à jour le mécanisme si nécessaire
db.changePassword(
  "old_user",
  "new_secure_password",
  { authenticationDatabase: "admin" }
)

Catégorie d'erreur courante 3 : Problèmes de configuration du serveur

Si plusieurs clients ne parviennent pas à se connecter, le problème réside probablement dans le fichier de configuration de mongod (mongod.conf).

1. Authentification non activée

Si l'authentification est complètement désactivée, les clients se connectant sans informations d'identification peuvent réussir, ou ils peuvent être bloqués de manière inattendue si le client tente quand même de s'authentifier. Inversement, si l'authentification est requise, mais que la configuration est incorrecte, les connexions échouent.

Assurez-vous que la section security dans mongod.conf est correctement définie :

security:
  authorization: enabled

2. Liaison à une interface incorrecte

Comme mentionné précédemment, si net.bindIp est trop restrictif, les clients externes ne peuvent pas atteindre le service d'authentification.

Exemple dans mongod.conf :

  • Accès local uniquement : bindIp: 127.0.0.1 (Échoue aux connexions distantes)
  • Recommandé pour le cloud/réseau interne : bindIp: 0.0.0.0 (Autorise les connexions depuis n'importe quelle interface, mais nécessite des règles de pare-feu robustes)

3. Utilisation d'une version SCRAM non prise en charge

Si vous définissez explicitement setParameter: { authSchemaVersion: 1 } (hérité), vous pourriez empêcher les clients d'utiliser SCRAM-SHA-256, les forçant à s'appuyer sur des mécanismes plus anciens et moins sécurisés qui pourraient ne plus être pris en charge par les pilotes modernes.

Meilleure pratique : Pour les installations MongoDB modernes (4.0+), vous devriez viser authSchemaVersion: 4 (par défaut pour SCRAM-SHA-256). Évitez de définir explicitement les versions de schéma, sauf si cela est nécessaire pour la compatibilité ascendante avec des clients très anciens.

Liste de contrôle récapitulative en cas d'échec d'authentification SCRAM

Lors du dépannage, suivez cette séquence :

  1. État du serveur : security.authorization est-il activé dans mongod.conf ?
  2. Vérification réseau : Le client peut-il atteindre l'IP et le port du serveur (utilisez netstat ou telnet) ?
  3. URI client : authMechanism=SCRAM-SHA-256 est-il spécifié (si nécessaire) ?
  4. authSource : Le authSource correspond-il à la base de données où l'utilisateur a été créé ?
  5. Existence de l'utilisateur : L'utilisateur existe-t-il dans la base de données authSource spécifiée ?
  6. Mot de passe/Rôles : Le mot de passe est-il correct et l'utilisateur possède-t-il les rôles minimum requis pour l'action prévue ?

En vérifiant méthodiquement ces points de configuration, la plupart des erreurs d'authentification SCRAM dans MongoDB peuvent être rapidement isolées et résolues.