web-dev-qa-db-ja.com

MySQL認証にLDAPを使用しますか?

ユーザーのために数十の異なるMySQLサーバーを実行しています。これらは、商用バージョンではなく、MySQLのフリー/オープンソースバージョンを使用します。これらのサーバーでアカウントのパスワードを管理するのは大変です。

MySQL権限の管理にLDAPを使用できるようにするプラグインはありますか?少なくとも、LDAPサーバーからユーザー名とパスワードを取得したいと考えています。

MySQL 5.1および5.5を使用しています。この機能を実現するために必要な場合は、MySQL 5.6にアップグレードしてもかまいません。

ツールはCLIベースで、GUIまたはWebインターフェースを必要としないことが望ましいです。

15

エンタープライズMySQL(Oracleにライセンスで支払うバージョン)には、LDAP認証を可能にするPAMモジュールがあります。 https://dev.mysql.com/doc/refman/5.5/en/pam-pluggable-authentication.html

MariaDB(Montyによって開発されたMySQLのバイナリ互換バージョン)には、オープンソースのPAMモジュールが用意されています。 http://kb.askmonty.org/en/pam-authentication-plugin/

私はどちらも実際の経験はありません-私は聞いたことがあるが、自分でテストしたり使用したりしていない機能としてのみ提示します。

14
drogart

auth_ldapプラグインは、GPLの下でInfoscope Hellas L.P.によって提供されています。

ここのsourceforgeからダウンロードできます

ホームページ

プラグインはまだベータ版であり、UNIXのインストールでのみ機能します。

8

Mysqlプロキシは、ロールを使用してこれを有効にすることができます。詳細はこちら: https://stackoverflow.com/questions/1329963/using-ldap-ad-for-mysql-authenication およびこちら: http:// jan。 kneschke.de/2009/6/25/mysql-proxy-roles/

6
uSlackr

MySQLには PAM認証プラグイン があり、利用可能なPAMモジュールを使用して認証サービスを提供できます。 pam_ldap設定が比較的簡単なモジュールで、必要な操作を実行できます。

プラグインのドキュメントには LDAPを使用した例 が含まれています。

5
larsks

MySQLのLDAP認証プラグインの完全な例(ソースコードを含む)をブログに公開しました。

http://nafiux.com/blog/2012/08/11/mysql-ldap-authentication-plugin/

2
Ignacio Ocampo

インストールをPercona Serverに移行し、この2つの方法のいずれかを使用して、PAMによってMySQLをLDAPに接続できます。

  • Auth_pamと呼ばれる完全なPAMプラグイン。このプラグインはdialog.soを使用します。クライアントとサーバー間の任意の通信でPAMプロトコルを完全にサポートします。

  • Auth_pam_compatと呼ばれるOracle互換のPAM。このプラグインは、Oracle MySQLクライアントの一部であるmysql_clear_passwordを使用します。また、パスワード入力は1つしかサポートされないなど、いくつかの制限もあります。パスワードをauth_pam_compatに渡すには、「-p」オプションを使用する必要があります。

http://www.percona.com/doc/percona-pam-for-mysql/intro.html

auth_pam_compatを使用していますが、クライアントは Cleartext Client-Side Authentication Plugin をサポートする必要があることを覚えておく必要があります

2
klocek

2017年の終わりまでに、これを提案できます。

https://www.percona.com/doc/percona-server/LATEST/management/pam_plugin.html

Percona PAM認証プラグインは、MySQLの認証プラグインの無料のオープンソース実装です。このプラグインは、MySQLサーバー、MySQLクライアント、PAMスタックの間のメディエーターとして機能します。サーバープラグインはPAMスタックから認証を要求し、PAMスタックからのすべての要求とメッセージを(クリアテキストで)ワイヤー経由でクライアントに転送し、PAMスタックへの応答をすべて読み取ります。

それはテストされていません、そして私はそれで働いたことがありません、私はそれが良いかもしれないのでそれを提案したかったです。

1