Centro de Conhecimento DevOps
Centro de Conhecimento DevOps

Solução de Problemas Comuns de Autenticação SCRAM no MongoDB

Domine a solução de problemas de autenticação SCRAM no MongoDB. Este guia detalha as causas comuns de recusas de conexão e falhas de autenticação, focando na configuração incorreta do cliente (authMechanism, authSource), nas armadilhas da criação de usuários e nas configurações de servidor necessárias. Aprenda passos práticos para proteger sua implantação MongoDB de forma eficiente.

39 visualizações

Solução de Problemas Comuns de Autenticação SCRAM no MongoDB

Configurar a segurança no MongoDB é crucial para proteger dados confidenciais. As implantações modernas do MongoDB dependem muito do SCRAM (Salted Challenge Response Authentication Mechanism) para autenticação segura baseada em senha. No entanto, implementar e gerenciar o SCRAM pode, por vezes, levar a erros de conexão frustrantes e negações de acesso.

Este guia serve como um manual prático de solução de problemas para identificar e resolver os problemas mais frequentes encontrados ao configurar ou usar a autenticação SCRAM no MongoDB. Ao entender as armadilhas comuns relacionadas à criação de usuários, atribuição de funções (roles) e configuração de clientes, você pode restaurar rapidamente o acesso seguro ao banco de dados.

Entendendo o SCRAM no MongoDB

SCRAM é o mecanismo de autenticação padrão nas versões recentes do MongoDB (iniciando fortemente com o MongoDB 3.0+ e evoluindo através do SCRAM-SHA-256, o padrão atual). Ele fornece um hash forte de senhas e impede que as senhas sejam transmitidas em texto simples pela rede, o que é uma grande melhoria de segurança em relação aos métodos mais antigos.

Ao solucionar problemas, lembre-se de que as falhas de autenticação geralmente derivam de uma de três áreas: Configuração do Servidor, Definição do Usuário ou Sintaxe de Conexão do Cliente.

Categoria de Erro Comum 1: Conexão Recusada ou Falha na Autenticação (Lado do Cliente)

Este é o sintoma mais comum: os clientes não conseguem se conectar, resultando frequentemente em mensagens como Authentication failed. (Autenticação falhou) ou Connection refused (Conexão recusada) quando a autenticação é estritamente aplicada.

1. Mecanismo de Autenticação Incorreto Especificado

Se sua implantação do MongoDB requer SCRAM, mas o cliente está tentando usar um mecanismo mais antigo ou sem suporte (como MONGODB-CR), a conexão falhará imediatamente.

Solução: Garanta que sua string de conexão ou configuração do driver solicite explicitamente o SCRAM.

Para clientes que suportam drivers modernos, a string de conexão geralmente especifica o mecanismo de autenticação (authMechanism). Para implantações modernas usando SCRAM-SHA-256 (recomendado):

mongodb://user:password@host:27017/dbname?authSource=admin&authMechanism=SCRAM-SHA-256

Dica: Se você omitir authMechanism em um servidor configurado apenas para SCRAM, o driver deve definir o padrão corretamente, mas configurá-lo explicitamente elimina ambiguidades.

2. Usando o authSource Errado

No MongoDB, o parâmetro authSource especifica o banco de dados onde a conta de usuário está definida. Se o seu usuário existe no banco de dados admin, mas você se conecta especificando authSource=myappdb, o servidor não consegue encontrar as credenciais.

Cenário de Exemplo: O usuário app_user foi criado no banco de dados admin.

Conexão Incorreta:

mongodb://app_user:password@localhost:27017/myappdb?authSource=myappdb

Conexão Correta:

mongodb://app_user:password@localhost:27017/myappdb?authSource=admin

3. Problemas de Rede ou Binding Mascarando Falhas de Autenticação

Às vezes, um problema de conexão parece ser uma falha de autenticação quando na verdade é um problema de binding de rede. Se a instância mongod estiver vinculada apenas a 127.0.0.1 (localhost), clientes remotos receberão uma recusa de conexão antes mesmo de tentar a autenticação.

Ação: Verifique se net.bindIp no seu mongod.conf permite conexões do endereço IP do cliente (por exemplo, 0.0.0.0 para todas as interfaces, ou IPs específicos).

Categoria de Erro Comum 2: Erros de Criação de Usuário e Atribuição de Funções

As falhas de autenticação geralmente estão enraizadas na forma como o usuário foi criado ou quais privilégios lhe foram atribuídos.

1. Usuário Criado Sem Senha (Ou Formato Incorreto)

Se você tentar criar um usuário usando o mongosh ou o shell mongo sem fornecer uma senha válida, o processo de criação pode falhar silenciosamente ou resultar em um usuário que não consegue se autenticar com sucesso via SCRAM.

Melhor Prática para Criação: Sempre especifique uma senha forte e garanta que você esteja usando o mecanismo SCRAM recomendado durante a criação do usuário.

// Conecte-se como usuário admin primeiro
use admin

// Crie o usuário com SCRAM-SHA-256 (recomendado)
db.createUser(
  {
    user: "reader_role",
    pwd: passwordPrompt(), // Solicita a senha de forma segura
    roles: [ { role: "read", db: "mydatabase" } ]
  }
)

2. Funções Ausentes ou Incorretas

Uma fonte comum de confusão é conectar-se com sucesso, mas descobrir que o usuário não pode executar a operação desejada (por exemplo, não pode ler dados, não pode gravar). Isso não é uma falha de autenticação, mas sim uma falha de autorização, que muitas vezes se apresenta de forma semelhante para o usuário final.

Solução de Problemas de Autorização:

  1. Verifique a Atribuição de Funções: Use show users no banco de dados correto (authSource) para confirmar que o usuário existe e possui as funções esperadas.
  2. Verifique Funções Herdadas: Se estiver usando funções personalizadas, garanta que elas herdem corretamente as funções internas necessárias (como read ou readWrite).
  3. Contexto da Conexão: Lembre-se de que as funções (roles) são válidas apenas no banco de dados especificado durante a criação (ou no DB admin para funções de nível de cluster).

Se um usuário tentar ler de dbA mas tiver funções apenas em dbB, a operação falhará.

3. Incompatibilidade de Versão SCRAM Durante a Atualização

Ao atualizar o MongoDB, usuários mais antigos ainda podem estar mapeados usando o mecanismo legado MONGODB-CR. Se o servidor estiver configurado para apenas aceitar SCRAM-SHA-256, esses usuários antigos falharão ao fazer login.

Resolução: Você deve atualizar explicitamente o método de autenticação para o usuário existente após atualizar a configuração do servidor.

Use o comando changePassword, que força um novo hash usando os padrões atuais do servidor:

// Atualiza a senha do usuário, atualizando implicitamente o mecanismo, se necessário
db.changePassword(
  "old_user",
  "new_secure_password",
  { authenticationDatabase: "admin" }
)

Categoria de Erro Comum 3: Problemas de Configuração do Servidor

Se vários clientes estiverem falhando ao se conectar, o problema provavelmente reside no arquivo de configuração mongod (mongod.conf).

1. Autenticação Não Habilitada

Se a autenticação estiver totalmente desabilitada, os clientes que se conectam sem credenciais podem ter sucesso, ou podem ser bloqueados inesperadamente se o cliente tentar autenticar de qualquer maneira. Por outro lado, se a autenticação for necessária, mas a configuração estiver incorreta, as conexões falharão.

Certifique-se de que a seção de segurança em mongod.conf esteja configurada corretamente:

security:
  authorization: enabled

2. Binding a uma Interface Incorreta

Como mencionado anteriormente, se net.bindIp for muito restritivo, clientes externos não conseguirão alcançar o serviço de autenticação.

Exemplo em mongod.conf:

  • Apenas Acesso Local: bindIp: 127.0.0.1 (Falha em conexões remotas)
  • Recomendado para Rede Interna/Nuvem: bindIp: 0.0.0.0 (Permite conexões de qualquer interface, mas requer regras de firewall fortes)

3. Usando uma Versão SCRAM Sem Suporte

Se você definir explicitamente setParameter: { authSchemaVersion: 1 } (legado), você pode impedir que os clientes usem SCRAM-SHA-256, forçando a dependência de mecanismos mais antigos e menos seguros que podem não ser mais suportados por drivers modernos.

Melhor Prática: Para instalações modernas do MongoDB (4.0+), você deve almejar authSchemaVersion: 4 (padrão para SCRAM-SHA-256). Evite definir explicitamente versões de esquema, a menos que seja necessário para compatibilidade retroativa com clientes muito antigos.

Lista de Verificação Resumida para Falha de Autenticação SCRAM

Ao solucionar problemas, siga esta sequência:

  1. Status do Servidor: O security.authorization está habilitado em mongod.conf?
  2. Verificação de Rede: O cliente consegue alcançar o IP e a porta do servidor (use netstat ou telnet)?
  3. URI do Cliente: O authMechanism=SCRAM-SHA-256 está especificado (se necessário)?
  4. authSource: O authSource corresponde ao banco de dados onde o usuário foi criado?
  5. Existência do Usuário: O usuário existe no banco de dados authSource especificado?
  6. Senha/Funções (Roles): A senha está correta e o usuário possui as funções mínimas necessárias para a ação pretendida?

Ao verificar metodicamente esses pontos de configuração, a maioria dos erros de autenticação SCRAM no MongoDB pode ser rapidamente isolada e resolvida.