Использовать LDAP для аутентификации MySQL?

Мы запускаем несколько десятков различных серверов MySQL для наших пользователей. Они используют бесплатную / открытую версию MySQL, а не коммерческую версию. Управление паролями учетной записи на этих серверах является болезненным.

Существуют ли плагины, которые позволили бы нам использовать LDAP для управления привилегиями MySQL? По крайней мере, мы хотели бы получить некоторые имена пользователей и пароли от серверов LDAP.

Мы используем MySQL 5.1 и 5.5. Возможно, мы захотим перейти на MySQL 5.6, если это необходимо для достижения этой функциональности.

Мы бы предпочли, чтобы любые инструменты основывались на CLI и не требовали GUI или веб-интерфейса.

Корпоративный MySQL (версия, за которую вы платите Oracle за лицензию) имеет модуль PAM, который позволяет выполнять аутентификацию LDAP: https://dev.mysql.com/doc/refman/5.5/en/pam-pluggable-authentication.html.

MariaDB (двоичная совместимая версия MySQL, разработанная Monty) имеет модуль PAM с открытым исходным кодом, доступный для него: http://kb.askmonty.org/en/pam-authentication-plugin/

У меня нет опыта работы с ними - я представляю их только как функции, о которых я слышал, но не проверял и не использовал сам.

Вы можете использовать auth_ldapплагин, предоставленный Infoscope Hellas LP под лицензией GPL.

Его можно скачать с sourceforge здесь .

( Домашняя страница )

Плагин все еще является бета-версией и работает только для установок UNIX.

Mysql прокси может включить это для вас, используя роли. Более подробную информацию можно найти здесь: /programming/1329963/using-ldap-ad-for-mysql-authenication и здесь: http://jan.kneschke.de/2009/6/25/mysql -proxy-роли /

MySQL имеет подключаемый модуль аутентификации PAM , который позволит вам использовать любой доступный модуль PAM для предоставления услуг аутентификации. Существует pam_ldapдовольно простой в настройке модуль, который позволит вам делать то, что вы хотите.

Документация плагина включает в себя пример использования LDAP .

Я опубликовал в своем блоге полный пример (с исходным кодом) плагина аутентификации LDAP для MySQL.

http://nafiux.com/blog/2012/08/11/mysql-ldap-authentication-plugin/

Вы можете перенести свои установки на Percona Server и использовать один из следующих двух способов подключения MySQL к LDAP через PAM:

• Полный плагин PAM называется auth_pam. Этот плагин использует dialog.so. Он полностью поддерживает протокол PAM с произвольной связью между клиентом и сервером.

• Oracle-совместимый PAM называется auth_pam_compat. Этот плагин использует mysql_clear_password, который является частью клиента Oracle MySQL. Он также имеет некоторые ограничения, например, он поддерживает только один ввод пароля. Вы должны использовать опцию «-p», чтобы передать пароль auth_pam_compat.

http://www.percona.com/doc/percona-pam-for-mysql/intro.html

Мы используем, auth_pam_compatно вы должны помнить, что клиент должен поддерживать Cleartext клиентский плагин аутентификации

Теперь к концу 2017 года я могу предложить следующее:

https://www.percona.com/doc/percona-server/LATEST/management/pam_plugin.html

Percona PAM Authentication Plugin - это бесплатная и открытая реализация плагина аутентификации MySQL. Этот плагин действует как посредник между сервером MySQL, клиентом MySQL и стеком PAM. Плагин сервера запрашивает аутентификацию из стека PAM, пересылает любые запросы и сообщения из стека PAM по сети клиенту (в открытом тексте) и считывает все ответы для стека PAM.

Это НЕ проверено, и я никогда не работал с этим, я хотел предложить это, поскольку это может быть хорошо.