MySQL kimlik doğrulaması için LDAP kullanılsın mı?

Kullanıcılarımız için birkaç düzine farklı MySQL sunucusu çalıştırıyoruz. Bunlar ticari sürümü değil, MySQL'in serbest / Açık Kaynak sürümünü kullanır. Bu sunuculardaki Hesap Parolalarını yönetmek acı vericidir.

MySQL ayrıcalıklarının yönetilmesine yardımcı olmak için LDAP kullanmamıza izin verecek eklentiler var mı? En azından, LDAP sunucularından bazı kullanıcı adları ve şifreler almak istiyoruz.

MySQL 5.1 ve 5.5 kullanıyoruz. Bu işlevselliğe ulaşmak için gerekirse MySQL 5.6 sürümüne geçmeye istekli olabiliriz.

Herhangi bir aracın CLI tabanlı olmasını ve GUI veya web arayüzü gerektirmemesini tercih ederiz.

Kurumsal MySQL (lisans için Oracle'a ödediğiniz sürüm), LDAP kimlik doğrulamasına izin veren bir PAM modülüne sahiptir: https://dev.mysql.com/doc/refman/5.5/en/pam-pluggable-authentication.html

MariaDB (Monty tarafından geliştirilen MySQL'in ikili uyumlu bir sürümü) için açık kaynaklı bir PAM modülü vardır: http://kb.askmonty.org/en/pam-authentication-plugin/

İkisi de tecrübeli değilim - Onları sadece duyduğum, ancak test etmediğim veya kendim kullanmadığım özellikler olarak sunuyorum.

Sen kullanabilirsiniz auth_ldapGPL InfoScope Hellas LP tarafından sağlanan eklenti.

Buradan sourceforge'dan indirilebilir .

( Ana Sayfa )

Eklenti hala bir Beta sürümdür ve yalnızca UNIX yüklemeleri için çalışır.

Bir Mysql proxy'si rolleri sizin için bunu etkinleştirebilir. Daha fazla ayrıntıyı burada bulabilirsiniz: /programming/1329963/using-ldap-ad-for-mysql-authenication ve burada: http://jan.kneschke.de/2009/6/25/mysql -proxy-rolü /

MySQL, kimlik doğrulama hizmetleri sağlamak için mevcut herhangi bir PAM modülünü kullanmanıza izin verecek bir PAM kimlik doğrulama eklentisine sahiptir. pam_ldapİstediğiniz şeyi yapmanıza izin verecek şekilde yapılandırması nispeten kolay bir modül var.

Eklenti belgeleri LDAP kullanan bir örnek içerir .

MySQL için bir LDAP Kimlik Doğrulama eklentisinin tam bir örneğini (kaynak kodlu) blogumda yayınladım.

http://nafiux.com/blog/2012/08/11/mysql-ldap-authentication-plugin/

İzlenimlerinizi Percona Server'a taşıyabilir ve MySQL'i PAM ile LDAP'ye bağlamak için şu iki yoldan birini kullanabilirsiniz:

• Auth_pam adlı tam PAM eklentisi. Bu eklenti dialog.so kullanır. İstemci ve sunucu arasında rastgele iletişim ile PAM protokolünü tamamen destekler.

• Auth_pam_compat adlı Oracle uyumlu PAM. Bu eklenti, Oracle MySQL istemcisinin bir parçası olan mysql_clear_password kullanıyor. Ayrıca, yalnızca bir parola girişini desteklediği gibi bazı sınırlamaları vardır. Şifreyi auth_pam_compat dosyasına geçirmek için “-p” seçeneğini kullanmanız gerekir.

http://www.percona.com/doc/percona-pam-for-mysql/intro.html

Kullanıyoruz auth_pam_compatancak istemcinin Cleartext İstemci Tarafı Kimlik Doğrulama Eklentisini desteklemesi gerektiğini hatırlamanız gerekiyor

Şimdi 2017'nin sonunda şunu önerebilirim:

https://www.percona.com/doc/percona-server/LATEST/management/pam_plugin.html

Percona PAM Kimlik Doğrulama Eklentisi, MySQL'in kimlik doğrulama eklentisinin ücretsiz ve Açık Kaynaklı bir uygulamasıdır. Bu eklenti MySQL sunucusu, MySQL istemcisi ve PAM yığını arasında aracı görevi görür. Sunucu eklentisi PAM yığınından kimlik doğrulaması ister, PAM yığınından tüm istek ve mesajları tel üzerinden istemciye iletir (açık metin halinde) ve PAM yığını için tüm yanıtları okur.

Test edilmedi ve onunla hiç çalışmadım, iyi olabileceği için önermek istedim.