Sử dụng LDAP để xác thực MySQL?

Chúng tôi chạy một vài chục máy chủ MySQL khác nhau cho người dùng của chúng tôi. Chúng sử dụng phiên bản MySQL miễn phí / mã nguồn mở, không phải phiên bản thương mại. Quản lý mật khẩu tài khoản trên các máy chủ này là khó khăn.

Có plugin nào cho phép chúng tôi sử dụng LDAP để giúp quản lý các đặc quyền của MySQL không? Ít nhất, chúng tôi muốn có được một số tên người dùng và mật khẩu từ các máy chủ LDAP.

Chúng tôi đang sử dụng MySQL 5.1 và 5.5. Chúng tôi có thể sẵn sàng nâng cấp lên MySQL 5.6 nếu điều đó là bắt buộc để đạt được chức năng này.

Chúng tôi muốn mọi công cụ đều dựa trên CLI và không yêu cầu giao diện GUI hoặc web.

Enterprise MySQL (phiên bản bạn trả cho Oracle để cấp phép) có mô-đun PAM cho phép xác thực LDAP: https://dev.mysql.com/doc/refman/5.5/en/pam-pluggable-authentication.html

MariaDB (phiên bản tương thích nhị phân của MySQL do Monty phát triển) có sẵn mô-đun PAM mã nguồn mở cho nó: http://kb.askmonty.org/en/pam-authentication-plugin/

Tôi cũng không có kinh nghiệm - tôi chỉ trình bày chúng như những tính năng tôi đã nghe nói nhưng không được thử nghiệm hoặc sử dụng cho bản thân.

Bạn có thể sử dụng auth_ldapplugin được cung cấp bởi Infographics Hellas LP theo GPL.

Nó có thể được tải xuống từ sourceforge tại đây .

( Trang chủ )

Plugin vẫn là bản Beta và chỉ hoạt động đối với các bản cài đặt UNIX.

Một proxy Mysql có thể kích hoạt điều này cho bạn bằng cách sử dụng các vai trò. Chi tiết hơn có thể được tìm thấy ở đây: /programming/1329963/USE-ldap-ad-for-mysql-authenication và tại đây: http://jan.kneschke.de/2009/6/25/mysql -proxy-vai trò /

MySQL có một plugin xác thực PAM cho phép bạn sử dụng bất kỳ mô-đun PAM có sẵn nào để cung cấp dịch vụ xác thực. Có một pam_ldapmô-đun tương đối dễ cấu hình sẽ cho phép bạn làm những gì bạn muốn.

Tài liệu plugin bao gồm một ví dụ sử dụng LDAP .

Tôi đã xuất bản trên blog của mình, một ví dụ đầy đủ (có mã nguồn) của plugin Xác thực LDAP cho MySQL.

http://nafiux.com/blog/2012/08/11/mysql-ldap-authentication-plugin/

Bạn có thể di chuyển bản in của mình sang Percona Server và sử dụng một trong hai cách này để kết nối MySQL với LDAP bằng PAM:

• Plugin PAM đầy đủ được gọi là auth_pam. Plugin này sử dụng hộp thoại. Nó hỗ trợ đầy đủ giao thức PAM với giao tiếp tùy ý giữa máy khách và máy chủ.

• PAM tương thích với Oracle được gọi là auth_pam_compat. Plugin này sử dụng mysql_clear_password, một phần của máy khách Oracle MySQL. Nó cũng có một số hạn chế, chẳng hạn như, nó chỉ hỗ trợ một mật khẩu đầu vào. Bạn phải sử dụng tùy chọn của Wikipedia -pv để truyền mật khẩu cho auth_pam_compat.

http://www.percona.com/doc/percona-pam-for-mysql/intro.html

Chúng tôi đang sử dụng auth_pam_compatnhưng bạn phải nhớ rằng ứng dụng khách phải hỗ trợ Plugin xác thực phía máy khách Cleartext

Bây giờ vào cuối năm 2017, tôi có thể đề xuất điều này:

https://www.percona.com/doc/percona-server/LATEST/man Quản lý / pam_plugin.html

Plugin xác thực Percona PAM là một triển khai mã nguồn mở và miễn phí của plugin xác thực của MySQL. Plugin này hoạt động như một trung gian hòa giải giữa máy chủ MySQL, máy khách MySQL và ngăn xếp PAM. Plugin máy chủ yêu cầu xác thực từ ngăn xếp PAM, chuyển tiếp mọi yêu cầu và tin nhắn từ ngăn xếp PAM qua dây đến máy khách (trong văn bản rõ ràng) và đọc lại bất kỳ câu trả lời nào cho ngăn xếp PAM.

Nó KHÔNG được thử nghiệm, và tôi chưa bao giờ làm việc với nó, tôi muốn đề xuất nó vì nó có thể tốt.