ユーザー向けに数十種類のMySQLサーバーを実行しています。これらは、商用バージョンではなく、MySQLの無料/オープンソースバージョンを使用します。これらのサーバーでアカウントのパスワードを管理するのは大変です。
LDAPを使用してMySQL特権を管理できるプラグインはありますか?少なくとも、LDAPサーバーからいくつかのユーザー名とパスワードを取得したいと思います。
MySQL 5.1および5.5を使用しています。この機能を実現するために必要な場合は、MySQL 5.6にアップグレードしてもかまいません。
ツールはCLIベースであり、GUIまたはWebインターフェイスを必要としないことをお勧めします。
回答:
Enterprise MySQL(ライセンスに対してOracleに支払うバージョン)には、LDAP認証を許可するPAMモジュールがあります:https : //dev.mysql.com/doc/refman/5.5/en/pam-pluggable-authentication.html
MariaDB(Montyが開発したMySQLのバイナリ互換バージョン)には、オープンソースのPAMモジュールが用意されています:http : //kb.askmonty.org/en/pam-authentication-plugin/
私はどちらの経験も持っていません-私は聞いたことがありますが、テストも使用もしていない機能としてのみ提示します。
Mysqlプロキシは、ロールを使用してこれを有効にできます。詳細はこちら:https : //stackoverflow.com/questions/1329963/using-ldap-ad-for-mysql-authenication およびこちら:http : //jan.kneschke.de/2009/6/25/mysql -proxy-roles /
MySQLのLDAP認証プラグインの完全な例(ソースコード付き)をブログに公開しました。
http://nafiux.com/blog/2012/08/11/mysql-ldap-authentication-plugin/
インストールをPercona Serverに移行し、次の2つの方法のいずれかを使用して、PAMによってMySQLをLDAPに接続できます。
auth_pamと呼ばれる完全なPAMプラグイン。このプラグインはdialog.soを使用します。クライアントとサーバー間の任意の通信でPAMプロトコルを完全にサポートします。
auth_pam_compatと呼ばれるOracle互換PAM。このプラグインは、Oracle MySQLクライアントの一部であるmysql_clear_passwordを使用します。また、1つのパスワード入力のみをサポートするなど、いくつかの制限があります。パスワードをauth_pam_compatに渡すには、「-p」オプションを使用する必要があります。
http://www.percona.com/doc/percona-pam-for-mysql/intro.html
使用してauth_pam_compatいますが、クライアントはCleartextクライアント側認証プラグインをサポートする必要があることを覚えておく必要があります
2017年末までに、これを提案できます。
https://www.percona.com/doc/percona-server/LATEST/management/pam_plugin.html
Percona PAM Authentication Pluginは、MySQLの認証プラグインの無料のオープンソース実装です。このプラグインは、MySQLサーバー、MySQLクライアント、およびPAMスタック間のメディエーターとして機能します。サーバープラグインは、PAMスタックからの認証を要求し、PAMスタックからの要求とメッセージをネットワーク経由でクライアントに(クリアテキストで)転送し、PAMスタックに対する応答を読み取ります。
それはテストされておらず、私はそれを使ったことがないので、良いかもしれないので提案したかったです。