Sử dụng LDAP (AD) để xác thực MySQL

Question

Tôi đang cố gắng tìm ra kế hoạch cho phép người dùng xác thực với cơ sở dữ liệu MySQL (nhiều, thực tế) bằng LDAP. Cụ thể hơn, ActiveDirectory. Cơ sở dữ liệu có thể sẽ được truy cập thông qua các ứng dụng, chứ không phải trên web. Những lựa chọn của tôi là gì?

EDIT:

Okay. Dường như không có cách "chính thức" cho phép xác thực trên MySQL bằng LDAP. Các tùy chọn khác tồn tại là gì? Chúng tôi có thể đồng bộ hóa người dùng và mật khẩu LDAP vào bảng người dùng MySQL không?

Answer 1

này là có thể với proxy mysql. có một vài điều bạn cần biết để làm cho công việc này:

• mysql proxy có thể chạy shell lệnh
• mysql proxy có thể đánh chặn và viết lại xác thực

hai trang này sẽ giúp bạn bắt đầu:

• ví dụ về chạy một lệnh shell: http://forge.mysql.com/tools/tool.php?id=79
• ví dụ về interceptin g và xác thực viết lại: http://web.archive.org/web/20150329071023/http://jan.kneschke.de/2009/6/25/mysql-proxy-roles/

Answer 2

Cá nhân tôi không thể tìm thấy bất kỳ thông tin nào cho thấy điều này là có thể. Tất cả những gì tôi thấy là sử dụng MySQL làm kho dữ liệu cho thư mục LDAP.

Answer 3

Có vẻ như bạn areout of luck :(

bạn có thể sử dụng PostgreSQL?

phương thức xác thực này hoạt động tương tự như mật khẩu ngoại trừ việc nó sử dụng LDAP như là phương pháp xác thực. LDAP chỉ được sử dụng để xác nhận Do đó người dùng phải đã tồn tại trong cơ sở dữ liệu trước khi LDAP có thể được sử dụng để xác thực Máy chủ và các tham số được sử dụng được chỉ định sau từ khóa chính ldap trong tệp pg_hba.conf. Định dạng của tham số này là:

ldap[s]://servername[:port]/base dn[;prefix[;suffix]]

Answer 4

Hãy nhìn vào http://dev.mysql.com/doc/refman/5.5/en/news-5-5-7.html

này nằm trong ứng cử viên 5.5.7 phát hành

Answer 5

Điều này có thể ngay bây giờ với các phần mở rộng thương mại, ví dụ với MySQL External Authentication for Windows:

Điều này cho phép bạn định cấu hình MySQL để sử dụng các dịch vụ Windows gốc để xác thực kết nối máy khách. Người dùng đã đăng nhập vào Windows có thể kết nối từ chương trình máy khách MySQL đến máy chủ dựa trên thông tin mã thông báo trong môi trường của họ mà không chỉ định mật khẩu bổ sung.

Answer 6

Bạn có thể sử dụng plugin auth_ldap do Infoscope Hellas L.P. cung cấp theo GPL.

Nó có thể được tải về từ SourceForge tại địa chỉ: http://sourceforge.net/projects/mysqlauthldap/

Trang chủ: http://infoscope.gr/mysqlauthldap

Plugin vẫn là một Beta và chỉ hoạt động cho việc cài đặt UNIX.

Answer 7

Bây giờ vào cuối năm 2017, tôi có thể đề nghị này:

https://www.percona.com/doc/percona-server/LATEST/management/pam_plugin.html

Percona PAM xác thực Plugin là một việc thực hiện nguồn mở miễn phí plugin xác thực của MySQL. Plugin này hoạt động như một trung gian hòa giải giữa máy chủ MySQL, máy khách MySQL và ngăn xếp PAM. Plugin máy chủ yêu cầu xác thực từ ngăn xếp PAM, chuyển tiếp mọi yêu cầu và thư từ ngăn xếp PAM qua dây tới máy khách (trong văn bản rõ ràng) và đọc lại bất kỳ câu trả lời nào cho ngăn xếp PAM.

Đó là NOT đã kiểm tra, tôi chưa biết nó tốt đến mức nào.

Answer 8

Điều này chắc chắn có thể xảy ra. Xem tại đây: https://www.percona.com/blog/2017/04/21/how-to-setup-and-troubleshoot-percona-pam-with-ldap-for-external-authentication/

Trong môi trường của tôi, tôi không thiết lập Samba hoặc NSS/SSS và tôi không tham gia miền cửa sổ. Tôi chỉ coi máy chủ AD là điểm cuối LDAP. Vì vậy, tôi bắt đầu từ Bước 9 theo các hướng dẫn trên.

EDIT: Thêm hướng dẫn từ trên cao liên kết theo đề nghị của AfroThundr

Cài đặt plugin Percona PAM:

mysql> INSTALL PLUGIN auth_pam SONAME 'auth_pam.so'; 
Query OK, 0 rows affected (0.01 sec) 

mysql> INSTALL PLUGIN auth_pam_compat SONAME 'auth_pam_compat.so'; 
Query OK, 0 rows affected (0.00 sec) 

Configure Percona PAM để xác thực để LDAP bằng cách tạo /etc/pam.d/ mysqld với nội dung này:

auth required pam_ldap.so 
account required pam_ldap.so 

Tạo người dùng MySQL sẽ xác thực qua auth_pam:

mysql> CREATE USER user@'%' IDENTIFIED WITH auth_pam; 
Query OK, 0 rows affected (0.00 sec) 

mysql> GRANT ALL PRIVILEGES ON testdb.* TO user@'%'; 
Query OK, 0 rows affected (0.00 sec) 

mysql> FLUSH PRIVILEGES; 
Query OK, 0 rows affected (0.00 sec) 

Đăng nhập như người dùng này và kiểm tra tài trợ:

[root@ps-20 ~]# mysql -u user 
Password: <your LDAP/AD password> 
Welcome to the MySQL monitor. Commands end with ; or g. 
Your MySQL connection id is 22 
Server version: 5.7.17-13 Percona Server (GPL), Release 13, Revision fd33d43 

Copyright (c) 2009-2016 Percona LLC and/or its affiliates 
Copyright (c) 2000, 2016, Oracle and/or its affiliates. All rights reserved. 

Oracle is a registered trademark of Oracle Corporation and/or its 
affiliates. Other names may be trademarks of their respective 
owners. 

Type 'help;' or 'h' for help. Type 'c' to clear the current input statement. 

mysql> SHOW GRANTS; 
+-----------------------------------------------------+ 
| Grants for user@%         | 
+-----------------------------------------------------+ 
| GRANT USAGE ON *.* TO 'user'@'%'     | 
| GRANT ALL PRIVILEGES ON `testdb`.* TO 'user'@'%' | 
+--------------------------------------------------- 

Cũng hãy cẩn thận của AppArmor - nó sẽ chặn các nỗ lực auth.Bạn có thể thấy sai lệch các thông báo lỗi trong /var/log/auth.log:

Feb 12 13:37:36 mysqld[15164]: PAM _pam_init_handlers: no default config /etc/pam.d/other 
Feb 12 13:37:36 mysqld[15164]: PAM error reading PAM configuration file 
Feb 12 13:37:36 mysqld[15164]: PAM pam_start: failed to initialize handlers 

Bạn cần phải thêm dòng sau vào /etc/apparmor.d/local/usr.sbin.mysqld:

#include <abstractions/authentication>

và tải lại AppArmor:

service apparmor restart

(Nhờ https://bugs.launchpad.net/ubuntu/+source/squid/+bug/1608984 để dẫn tôi đến phần AppArmor)