Używać LDAP do uwierzytelniania MySQL?

Dla naszych użytkowników prowadzimy kilkadziesiąt różnych serwerów MySQL. Wykorzystują one darmową / Open Source wersję MySQL, a nie wersję komercyjną. Zarządzanie hasłami do kont na tych serwerach jest bolesne.

Czy są jakieś wtyczki, które pozwoliłyby nam używać LDAP do zarządzania uprawnieniami MySQL? Przynajmniej chcielibyśmy uzyskać niektóre nazwy użytkowników i hasła z serwerów LDAP.

Używamy MySQL 5.1 i 5.5. Możemy być gotowi na aktualizację do MySQL 5.6, jeśli jest to wymagane do osiągnięcia tej funkcjonalności.

Wolelibyśmy, aby wszelkie narzędzia były oparte na interfejsie CLI i nie wymagały graficznego interfejsu użytkownika ani interfejsu sieciowego.

Enterprise MySQL (wersja, za którą płacisz Oracle za licencję) ma moduł PAM, który umożliwia uwierzytelnianie LDAP: https://dev.mysql.com/doc/refman/5.5/en/pam-pluggable-authentication.html

MariaDB (binarnie kompatybilna wersja MySQL opracowana przez Monty) ma dostępny moduł PAM typu open source: http://kb.askmonty.org/en/pam-authentication-plugin/

Nie mam też doświadczenia z żadnym z nich - przedstawiam je tylko jako cechy, o których słyszałem, ale których nie testowałem ani nie używałem.

Możesz użyć auth_ldapwtyczki dostarczonej przez Infoscope Hellas LP na licencji GPL.

Można go pobrać z sourceforge tutaj .

( Strona główna )

Wtyczka jest wciąż wersją beta i działa tylko w instalacjach UNIX.

Serwer proxy Mysql może to umożliwić za pomocą ról. Więcej szczegółów można znaleźć tutaj: /programming/1329963/using-ldap-ad-for-mysql-authenication i tutaj: http://jan.kneschke.de/2009/6/25/mysql -proxy-role /

MySQL ma wtyczkę uwierzytelniającą PAM , która pozwala używać dowolnego dostępnego modułu PAM do świadczenia usług uwierzytelniania. Istnieje pam_ldapmoduł, który jest stosunkowo łatwy w konfiguracji, który powinien pozwolić ci robić, co chcesz.

Dokumentacja wtyczki zawiera przykład użycia LDAP .

Opublikowałem na swoim blogu pełny przykład (z kodem źródłowym) wtyczki uwierzytelniania LDAP dla MySQL.

http://nafiux.com/blog/2012/08/11/mysql-ldap-authentication-plugin/

Możesz migrować swoje instalacje do Percona Server i użyć jednego z tych dwóch sposobów połączenia MySQL z LDAP przez PAM:

• Pełna wtyczka PAM o nazwie auth_pam. Ta wtyczka korzysta z dialog.so. W pełni obsługuje protokół PAM z dowolną komunikacją między klientem a serwerem.

• PAM kompatybilny z Oracle o nazwie auth_pam_compat. Ta wtyczka wykorzystuje hasło mysql_clear_password, które jest częścią klienta Oracle MySQL. Ma również pewne ograniczenia, na przykład obsługuje tylko jedno hasło. Musisz użyć opcji „-p”, aby przekazać hasło do auth_pam_compat.

http://www.percona.com/doc/percona-pam-for-mysql/intro.html

Używamy, auth_pam_compatale musisz pamiętać, że klient musi obsługiwać wtyczkę Cleartext Authentication po stronie klienta

Teraz do końca 2017 r. Mogę zasugerować:

https://www.percona.com/doc/percona-server/LATEST/management/pam_plugin.html

Percona PAM Authentication Plugin to darmowa implementacja wtyczki uwierzytelniającej MySQL typu Open Source. Ta wtyczka działa jako mediator między serwerem MySQL, klientem MySQL a stosem PAM. Wtyczka serwera żąda uwierzytelnienia ze stosu PAM, przekazuje wszelkie żądania i wiadomości ze stosu PAM przewodowo do klienta (w postaci czystego tekstu) i odczytuje wszelkie odpowiedzi dotyczące stosu PAM.

NIE jest testowany i nigdy z nim nie pracowałem, chciałem zasugerować, ponieważ może być dobry.