net:
   unixDomainSocket:
      enabled: <boolean>
      pathPrefix: <string>
      filePermissions: <int>

Type: boolean
默认值：True
启用或禁用UNIX域套接字上的侦听。net.unixDomainSocket.enabled仅适用于基于Unix的系统。
如果net.unixDomainSocket.enabled是true，mongos或者mongod监听Unix套接字上。
该mongos或mongod过程总是Unix套接字上监听，除非以下情况之一是真实的： 

Type: string    
默认值：/ tmp
UNIX套接字的路径。net.unixDomainSocket.pathPrefix仅适用于基于Unix的系统。
如果此选项没有值，则 mongos或mongod进程会创建一个带有/tmp前缀的套接字。MongoDB在UNIX套接字上创建和侦听，除非满足以下条件之一：

Type: integer
默认值：0700
设置UNIX域套接字文件的权限。
net.unixDomainSocket.filePermissions 仅适用于基于Unix的系统。

net:
   tls:
      mode: <string>
      certificateKeyFile: <string>
      certificateKeyFilePassword: <string>
      certificateSelector: <string>
      clusterCertificateSelector: <string>
      clusterFile: <string>
      clusterPassword: <string>
      CAFile: <string>
      clusterCAFile: <string>
      CRLFile: <string>
      allowConnectionsWithoutCertificates: <boolean>
      allowInvalidCertificates: <boolean>
      allowInvalidHostnames: <boolean>
      disabledProtocols: <string>
      FIPSMode: <boolean>

Type: string
版本4.2中的新功能。
启用用于所有网络连接的TLS。net.tls.mode设置的参数可以是以下之一：
如果--tlsCAFile还是tls.CAFile没有指定，而且您没有使用X.509认证，全系统的CA证书存储区将连接到启用TLS的服务器时使用。
如果使用x.509身份验证，--tlsCAFile或tls.CAFile 必须指定，除非使用--tlsCertificateSelector。
有关TLS和MongoDB的详细信息，请参阅 为客户端配置TLS / SSL的mongod（ Configure mongod and mongos for TLS/SSL）和
mongos以及 TLS / SSL配置（TLS/SSL Configuration for Clients）。

Type: string
版本4.2中的新功能。
注意：从4.0开始，在macOS或Windows上，您可以使用操作系统安全存储中的证书，而不是指定PEM文件。见 net.tls.certificateSelector.。
在.pem同时包含TLS证书和密钥文件。
在Linux / BSD上，您必须指定net.tls.certificateKeyFile何时启用TLS。
在Windows或macOS上，您必须指定net.tls.certificateKeyFile或net.tls.certificateSelector启用TLS时。    
有关TLS和MongoDB的详细信息，请参阅 为客户端配置TLS / SSL的mongod（ Configure mongod and mongos for TLS/SSL）和
mongos以及 TLS / SSL配置（TLS/SSL Configuration for Clients）。

Type: string
版本4.2中的新功能。
用于解密证书密钥文件的密码（即 certificateKeyFile）。net.tls.certificateKeyFilePassword仅在证书密钥文件已加密时才使用该选项。
在所有情况下，mongos或mongod将从所有日志记录和报告输出中编辑密码。

Type: string
版本4.2中的新功能：在Windows和macOS上可用作替代版本net.tls.certificateKeyFile。
这些net.tls.certificateKeyFile和net.tls.certificateSelector选项是互斥的。您只能指定一个。
指定证书属性，以便从操作系统的证书存储中选择匹配的证书。
net.tls.certificateSelector接受格式的参数，<property>=<value> 其中属性可以是以下之一：

Type: string
版本4.2中的新功能：在Windows和macOS上可用作替代版本 net.tls.clusterFile。
net.tls.clusterFile和net.tls.clusterCertificateSelector选项是互斥的。您只能指定一个。
指定证书属性，以便从操作系统的证书存储中选择用于内部身份验证的匹配证书。
net.tls.clusterCertificateSelector接受格式的参数，<property>=<value> 其中属性可以是以下之一：

Type: string
版本4.2中的新功能。
注意：从4.0开始，在macOS或Windows上，您可以使用操作系统安全存储中的证书而不是PEM文件。见net.tls.clusterCertificateSelector。  
在.pem包含了X.509证书，密钥文件的文件会员认证 的集群或副本集。
如果net.tls.clusterFile未指定.pem内部群集身份验证或备用 文件net.tls.clusterCertificateSelector，则群集将使用设置中.pem指定的 文件certificateKeyFile或由net.tls.certificateSelector。
返回的证书。
如果使用x.509身份验证，--tlsCAFile或tls.CAFile 必须指定，除非使用--tlsCertificateSelector。

Type: string
版本4.2中的新功能。
用于解密指定的x.509证书密钥文件的密码--tlsClusterFile。net.tls.clusterPassword仅在证书密钥文件已加密时才使用该选项。在所有情况下，
mongos或mongod 将从所有日志记录和报告输出中编辑密码。

Type: string
版本4.2中的新功能。
.pem包含证书颁发机构的根证书链的文件。.pem使用相对路径或绝对路径指定文件的文件名 。
从4.0开始，在macOS或Windows上，您可以使用操作系统安全存储中的证书而不是PEM密钥文件。见 net.tls.certificateSelector。使用安全存储时，您不需要，但也可以指定net.tls.CAFile。

Type: string      
版本4.2中的新功能。
.pem包含证书颁发机构的根证书链的文件，用于验证由建立连接的客户端提供的证书。.pem使用相对路径或绝对路径指定文件的文件名。
如果net.tls.clusterCAFile未指定.pem用于验证来自建立连接的客户端的证书的.pem文件，则群集将使用该net.tls.CAFile选项中指定的文件。
net.tls.clusterCAFile 允许您使用单独的证书颁发机构来验证客户端到服务器和服务器到TLS握手的客户端部分。

Type: string      
版本4.2中的新功能。
.pem包含证书吊销列表的文件。.pem使用相对路径或绝对路径指定文件的文件名。
注意：从MongoDB 4.0开始，您无法net.tls.CRLFile在macOS上指定。请net.tls.certificateSelector改用。

Type: boolean
版本4.2中的新功能。
对于未提供证书的客户端，mongos或mongod在建立连接时绕过TLS / SSL证书验证。
但是，对于提供证书的客户端，mongos或mongod使用指定的根证书链执行证书验证， CAFile并拒绝具有无效证书的客户端。
net.tls.allowConnectionsWithoutCertificates如果您的混合部署包含不能或不能向mongos或提供证书的客户端，请使用该选项mongod。

Type: boolean
版本4.2中的新功能。
启用或禁用群集中其他服务器上的TLS证书的验证检查，并允许使用无效证书进行连接。
注意：如果指定 --tlsAllowInvalidCertificates或使用x.509身份验证，则无效证书仅足以建立TLS连接，但 不足以进行身份验证。tls.allowInvalidCertificates: true
使用该net.tls.allowInvalidCertificates设置时，MongoDB会记录有关使用无效证书的警告。

Type: boolean
默认值：False
3.0版中的新功能。
如果net.tls.allowInvalidHostnames是true，MongoDB的禁用TLS证书的主机名的验证，允许mongod连接到MongoDB的情况下，如果主机名的证书不指定主机名匹配。

Type: string
版本4.2中的新功能。
阻止使用TLS运行的MongoDB服务器接受使用特定协议的传入连接。要指定多个协议，请使用逗号分隔的协议列表。
net.tls.disabledProtocols识别以下协议：TLS1_0，TLS1_1， TLS1_2，和在4.0.4版本（3.6.9和）起，TLS1_3。

Type: boolean
版本4.2中的新功能。
启用或禁用TLS库的FIPS模式用于mongos或mongod。您的系统必须具有FIPS兼容库才能使用该net.tls.FIPSMode选项。
注意：FIPS兼容的TLS / SSL仅在MongoDB Enterprise中可用。有关更多信息，请参阅 配置MongoDB for FIPS。

net:
   ssl:                            # deprecated since 4.2
      sslOnNormalPorts: <boolean>  # deprecated since 2.6
      mode: <string>
      PEMKeyFile: <string>
      PEMKeyPassword: <string>
      certificateSelector: <string>
      clusterCertificateSelector: <string>
      clusterFile: <string>
      clusterPassword: <string>
      CAFile: <string>
      clusterCAFile: <string>
      CRLFile: <string>
      allowConnectionsWithoutCertificates: <boolean>
      allowInvalidCertificates: <boolean>
      allowInvalidHostnames: <boolean>
      disabledProtocols: <string>
      FIPSMode: <boolean>

Type: boolean
从2.6版开始不推荐使用：改为使用。net.tls.mode: requireTLS
为mongos或启用或禁用TLS / SSLmongod。
对于默认MongoDB端口或指定的端口上的所有连接net.ssl.sslOnNormalPorts，使用mongos或mongod需要TLS / SSL加密 net.port。默认情况下，
net.ssl.sslOnNormalPorts已禁用。

Type: string
从版本4.2开始不推荐使用：net.tls.mode改为使用。
2.6版中的新功能。
启用用于所有网络连接的TLS / SSL或混合TLS / SSL。net.ssl.mode设置的参数可以是以下之一：

Type: string
从版本4.2开始不推荐使用：改为使用net.tls.certificateKeyFile。
注意：从4.0开始，在macOS或Windows上，您可以使用操作系统安全存储中的证书而不是PEM文件。见 net.ssl.certificateSelector。
在.pem同时包含TLS / SSL证书和密钥文件。

Type: string
从版本4.2开始不推荐使用：net.tls.certificateKeyFilePassword改为使用。
用于解密证书密钥文件的密码（即 PEMKeyFile）。net.ssl.PEMKeyPassword仅在证书密钥文件已加密时才使用该选项。在所有情况下，
mongos或mongod将从所有日志记录和报告输出中编辑密码。

Type: string
从版本4.2开始不推荐使用：net.tls.certificateSelector改为使用。
版本4.0中的新功能：在Windows和macOS上可用作替代版本net.ssl.PEMKeyFile。
net.ssl.PEMKeyFile和net.ssl.certificateSelector选项是互斥的。您只能指定一个。 
指定证书属性，以便从操作系统的证书存储中选择匹配的证书。
net.ssl.certificateSelector接受格式的参数，<property>=<value> 其中属性可以是以下之一：

Type: string
从版本4.2开始不推荐使用：net.tls.clusterCertificateSelector改为使用。
版本4.0中的新功能：在Windows和macOS上可用作替代版本 net.ssl.clusterFile。
net.ssl.clusterFile和net.ssl.clusterCertificateSelector选项是互斥的。您只能指定一个。
指定证书属性，以便从操作系统的证书存储中选择用于内部身份验证的匹配证书。
net.ssl.clusterCertificateSelector接受格式的参数，<property>=<value> 其中属性可以是以下之一：

Type: string
从版本4.2开始不推荐使用：net.tls.clusterFile改为使用。
注意：从4.0开始，在macOS或Windows上，您可以使用操作系统安全存储中的证书而不是PEM密钥文件。见net.ssl.clusterCertificateSelector。
在.pem包含了X.509证书，密钥文件的文件会员认证 的集群或副本集。
如果net.ssl.clusterFile未指定.pem内部群集身份验证或备用 文件net.ssl.clusterCertificateSelector，则群集将使用设置中.pem指定的 文件PEMKeyFile或由net.ssl.certificateSelector。

Type: string
从版本4.2开始不推荐使用：net.tls.clusterPassword改为使用。
2.6版中的新功能。
用于解密指定的x.509证书密钥文件的密码--sslClusterFile。net.ssl.clusterPassword仅在证书密钥文件已加密时才使用该选项。在所有情况下，
mongos或mongod 将从所有日志记录和报告输出中编辑密码。

Type: string
从版本4.2开始不推荐使用：net.tls.CAFile改为使用。
.pem包含证书颁发机构的根证书链的文件。.pem使用相对路径或绝对路径指定文件的文件名 。
从4.0开始，在macOS或Windows上，您可以使用操作系统安全存储中的证书而不是PEM密钥文件。见 net.ssl.certificateSelector。使用安全存储时，您不需要，但也可以指定net.ssl.CAFile。

Type: string
从版本4.2开始不推荐使用：net.tls.clusterCAFile改为使用。
.pem包含证书颁发机构的根证书链的文件，用于验证由建立连接的客户端提供的证书。.pem使用相对路径或绝对路径指定文件的文件名。
如果net.ssl.clusterCAFile未指定.pem用于验证来自建立连接的客户端的证书的.pem文件，则群集将使用该net.ssl.CAFile选项中指定的文件。
net.ssl.clusterCAFile 允许您使用单独的证书颁发机构来验证客户端到服务器和服务器到TLS握手的客户端部分。
从4.0开始，在macOS或Windows上，您可以使用操作系统安全存储中的证书而不是PEM密钥文件。见 net.ssl.clusterCertificateSelector。使用安全存储时，您不需要，
但也可以指定net.ssl.clusterCAFile。
需要net.ssl.CAFile设置。

Type: string
从版本4.2开始不推荐使用：net.tls.CRLFile改为使用。
.pem包含证书吊销列表的文件。.pem使用相对路径或绝对路径指定文件的文件名。
注意：从MongoDB 4.0开始，您无法net.ssl.CRLFile在macOS上指定。请net.ssl.certificateSelector改用。

Type: boolean
从版本4.2开始不推荐使用：net.tls.allowConnectionsWithoutCertificates改为使用。
对于未提供证书的客户端，mongos或mongod在建立连接时绕过TLS / SSL证书验证。
但是，对于提供证书的客户端，mongos或mongod使用指定的根证书链执行证书验证， CAFile并拒绝具有无效证书的客户端。
net.ssl.allowConnectionsWithoutCertificates如果您的混合部署包含不能或不能向mongos或提供证书的客户端，请使用该选项mongod。

Type: boolean
从版本4.2开始不推荐使用：net.tls.allowInvalidCertificates改为使用。
启用或禁用群集中其他服务器上的TLS / SSL证书的验证检查，并允许使用无效证书进行连接。
注意：从MongoDB 4.0开始，如果在使用x.509身份验证时指定 --sslAllowInvalidCertificates或 （或在MongoDB 4.2中使用别名或 ），
则无效证书仅足以建立TLS / SSL连接但不足以进行身份验证。net.ssl.allowInvalidCertificates: true--tlsAllowInvalidateCertificatesnet.tls.allowInvalidCertificates: true
使用该net.ssl.allowInvalidCertificates设置时，MongoDB会记录有关使用无效证书的警告。

Type: boolean
从版本4.2开始不推荐使用：net.tls.allowInvalidHostnames改为使用。
3.0版中的新功能。
如果net.ssl.allowInvalidHostnames是true，MongoDB的禁用TLS / SSL证书的主机名的验证，允许mongod连接到MongoDB的情况下，如果主机名的证书不指定主机名匹配。

Type: string
从版本4.2开始不推荐使用：net.tls.disabledProtocols改为使用。
3.0.7版中的新功能。
防止使用TLS / SSL运行的MongoDB服务器接受使用特定协议的传入连接。要指定多个协议，请使用逗号分隔的协议列表。
net.ssl.disabledProtocols识别以下协议：TLS1_0，TLS1_1， TLS1_2，并开始在版本4.0.4（和3.6.9） TLS1_3。

Type: boolean
从版本4.2开始不推荐使用：net.tls.FIPSMode改为使用。
启用或禁用使用TLS / SSL库的FIPS模式为mongos或mongod。您的系统必须具有FIPS兼容库才能使用该net.ssl.FIPSMode选项。
注意：FIPS兼容的TLS / SSL仅在MongoDB Enterprise中可用。有关更多信息，请参阅 配置MongoDB for FIPS。

net:
   compression:
      compressors: <string>

默认值：snappy，zstd，zlib
版本3.4中的新功能。
指定用于此实例mongod或mongos实例之间通信的默认压缩器：
如果实例是副本集或分片群集的一部分，则部署的其他成员
一个mongo sell
支持OP_COMPRESSED邮件格式的驱动程序。
MongoDB支持以下压缩器：
snappy
zlib (从MongoDB 3.6开始可用)
zstd (从MongoDB 4.2开始可用)
在3.6和4.0版本，mongod并 mongos默认启用网络压缩与 snappy作为压缩。 
开始于4.2版本，mongod和 mongos实例默认为两个snappy,zstd,zlib 压缩机，在这个顺序。
要禁用网络压缩，请将值设置为disabled。
重要：当双方都启用网络压缩时，会压缩消息。否则，各方之间的消息将被解压缩。
如果指定多个压缩器，则列出压缩器的顺序以及通信启动器都很重要。例如，如果mongo shell指定了以下网络压缩器zlib,snappy和mongod指定 snappy,zlib，
则mongo shell和 mongod uses 之间的消息zlib。
如果各方不共享至少一个公共压缩器，则各方之间的消息是未压缩的。例如，如果 mongo shell指定网络压缩器 zlib并mongod指定snappy，则mongoshell和之间的消息mongod不会被压缩。

Type: string   
默认值：synchronous
版本3.6中的新功能。
确定线程和执行模型mongos或mongod用于执行客户端请求。该--serviceExecutor选项接受以下值之一：  

security:
   keyFile: <string>
   clusterAuthMode: <string>
   authorization: <string>
   transitionToAuth: <boolean>
   javascriptEnabled:  <boolean>
   redactClientLogData: <boolean>
   sasl:
      hostName: <string>
      serviceName: <string>
      saslauthdSocketPath: <string>
   enableEncryption: <boolean>
   encryptionCipherMode: <string>
   encryptionKeyFile: <string>
   kmip:
      keyIdentifier: <string>
      rotateMasterKey: <boolean>
      serverName: <string>
      port: <string>
      clientCertificateFile: <string>
      clientCertificatePassword: <string>
      clientCertificateSelector: <string>
      serverCAFile: <string>
   ldap:
      servers: <string>
      bind:
         method: <string>
         saslMechanisms: <string>
         queryUser: <string>
         queryPassword: <string>
         useOSDefaults: <boolean>
      transportSecurity: <string>
      timeoutMS: <int>
      userToDNMapping: <string>
      authz:
         queryTemplate: <string>

Type: string
密钥文件的路径，用于存储MongoDB实例用于在分片集群或副本集中相互进行身份验证的共享密钥 。keyFile暗示 security.authorization。有关更多信息，请参阅内部/成员身份验
从MongoDB 4.2开始，内部成员身份验证的密钥文件使用YAML格式来允许密钥文件中的多个密钥。YAML格式接受以下内容：
单个键字符串（与早期版本相同），
多个键字符串（每个字符串必须用引号括起来），或
关键字符串序列。
YAML格式与使用文本文件格式的现有单键密钥文件兼容。 

Type: string
默认值：keyFile
2.6版中的新功能。
用于群集身份验证的身份验证模式。如果使用 内部x.509身份验证，请在此处指定。此选项可以具有以下值之一：

Type: string
默认值：已禁用
用或禁用基于角色的访问控制（RBAC）以管理每个用户对数据库资源和操作的访问。
将此选项设置为以下之一：

Type: boolean
默认值：False
在新版本3.4：允许mongod或mongos接受和创造，并从其它身份验证和非认证连接mongod ，并mongos在部署实例。
用于执行副本集或分片集群从非身份验证配置到内部身份验证的滚动转换。需要指定内部身份验证机制，例如 security.keyFile。
例如，如果使用密钥文件进行 内部验证中，mongod或mongos创建具有任何经认证的连接mongod或mongos 在部署使用匹配密钥文件。
如果安全机制不匹配，则使用mongod或mongos使用非认证连接。
mongod或mongos运行security.transitionToAuth不会强制执行用户访问控制。用户可以在没有任何访问控制检查的情况下连接到您的部署，并执行读取，写入和管理操作。
注意：mongod或mongos运行内部身份验证，无需 security.transitionToAuth客户端使用用户访问控制进行连接。 在重新启动之前或不使用之前，
更新客户端以连接到mongod或mongos使用适当的用户。mongodmongossecurity.transitionToAuth

Type: boolean
默认值：True
启用或禁用服务器端JavaScript执行。禁用时，不能使用执行JavaScript代码的服务器端执行的操作，例如$where查询运算符，mapReduce 命令和db.collection.mapReduce()方法。

Type: boolean
3.4版中的新功能：仅适用于MongoDB Enterprise。
一个mongod或mongos与运行security.redactClientLogData重新编辑登录前伴随一个给定的日志事件的任何消息。这可以防止mongod或者mongos将存储在数据库中的
潜在敏感数据写入诊断日志。日志中仍会显示错误或操作代码，行号和源文件名等元数据。
security.redactClientLogData与静态加密和 TLS / SSL（传输加密）结合使用， 以帮助符合法规要求。
例如，MongoDB部署可能会在一个或多个集合中存储个人身份信息（PII）。的mongod或mongos记录的事件，如那些涉及CRUD操作，分片的元数据等，这是可能的mongod或者
mongos可以暴露PII因为这些测井操作的一部分。A mongod或mongosrunning with security.redactClientLogData在输出到日志之前删除伴随这些事件的任何消息，从而有效地删除PII。
由于缺少与日志事件相关的数据，因此运行mongod或mongos运行的诊断security.redactClientLogData可能更加困难。
有关日志输出效果的示例，请参阅 进程日志记录手册页security.redactClientLogData。
您可以在运行mongod或mongos 使用setParameterdatabase命令时启用或禁用日志编辑。   

db.adminCommand(
  { setParameter: 1, redactClientLogData : true | false }
)

security:
   sasl:
      hostName: <string>
      serviceName: <string>
      saslauthdSocketPath: <string>

Type: string
用于配置SASL和Kerberos身份验证的完全限定服务器域名。SASL主机名仅覆盖SASL和Kerberos配置的主机名。
对于mongo shell等的MongoDB工具连接到新的hostName，看 gssapiHostName在选项mongo shell和其他工具。

Type: string
使用SASL注册的服务名称。此选项允许您 基于每个实例覆盖Kerberos主体名称的默认Kerberos 服务名称组件。如果未指定，则默认值为 mongodb
MongoDB仅允许在启动时设置此选项。使用 setParameter不能更改此设置。
此选项仅在MongoDB Enterprise中可用。

Type: string
UNIX域套接字文件的路径saslauthd。

security:
   ldap:
      servers: <string>
      bind:
         method: <string>
         saslMechanisms: <string>
         queryUser: <string>
         queryPassword: <string>
         useOSDefaults: <boolean>
      transportSecurity: <string>
      timeoutMS: <int>
      userToDNMapping: <string>
      authz:
         queryTemplate: <string>

Type: string
3.4版中的新功能：仅适用于MongoDB Enterprise。
用于对其执行LDAP操作mongod或对其mongos执行身份验证的LDAP服务器，或确定用户有权对给定数据库执行的操作。如果指定的LDAP服务器具有任何复制的实例，
则可以在逗号分隔的列表中指定每个复制的服务器的主机和端口。
如果LDAP基础架构通过多个LDAP服务器对LDAP目录进行分区，请将其任何复制实例指定一个 LDAP服务器 security.ldap.servers。MongoDB支持RFC 4511 4.1.10
中定义的以下LDAP引用。不要security.ldap.servers 用于列出基础结构中的每个LDAP服务器。
可以在运行mongod或mongos使用时 配置此设置setParameter。
如果未设置，mongod或者mongos无法使用LDAP身份验证或授权。

Type: string
3.4版中的新功能：仅适用于MongoDB Enterprise。
身份与mongod或mongos结合如，连接到或LDAP服务器上执行查询时。
仅在满足以下任何条件时才需要：
使用LDAP授权。
使用LDAP查询security.ldap.userToDNMapping。
LDAP服务器不允许匿名绑定
您必须使用queryUser与queryPassword。
如果未设置，mongod或者mongos不会尝试绑定到LDAP服务器。
可以在运行mongod或mongos使用时 配置此设置setParameter。
注意：Windows MongoDB部署可以使用bindWithOSDefaults 而不是queryUser和queryPassword。你不能同时指定queryUser，并bindWithOSDefaults在同一时间。