Nós executamos dezenas de servidores MySQL diferentes para nossos usuários. Estes usam a versão livre / código aberto do MySQL, não a versão comercial. Gerenciando a conta As senhas nesses servidores são dolorosas.
Existe algum plug-in que nos permita usar o LDAP para ajudar a gerenciar os privilégios do MySQL? No mínimo, gostaríamos de obter alguns nomes de usuários e senhas dos servidores LDAP.
Estamos usando o MySQL 5.1 e 5.5. Podemos estar dispostos a atualizar para o MySQL 5.6 se isso for necessário para alcançar essa funcionalidade.
Preferiríamos que qualquer ferramenta fosse baseada em CLI e não exigisse uma GUI ou interface web.
O Enterprise MySQL (a versão que você paga ao Oracle para licenciar) tem um módulo PAM que permite a autenticação LDAP: link
MariaDB (uma versão binária compatível do MySQL desenvolvida pela Monty) tem um módulo PAM de código aberto disponível para ele: link
Eu não tenho experiência prática com nenhum deles - eu os apresento apenas como recursos de que ouvi falar, mas que não foram testados nem utilizados por mim.
Você pode usar o plug-in auth_ldap fornecido pelo Infoscope Hellas L.P. sob GPL.
Ele pode ser baixado do sourceforge aqui .
( Homepage )
O plugin ainda é um Beta e funciona apenas para instalações UNIX.
O MySQL tem um plug-in de autenticação PAM que permitirá que você use qualquer módulo PAM disponível para fornecer serviços de autenticação. Existe um módulo pam_ldap que é relativamente fácil de configurar e que permite que você faça o que quiser.
A documentação do plug-in inclui uma exemplo usando o LDAP .
Eu publiquei em meu blog, um exemplo completo (com código fonte) de um plugin de Autenticação LDAP para MySQL.
Você pode migrar suas instalações para o Percona Server e usar uma destas duas maneiras de conectar o MySQL ao LDAP pelo PAM:
Full PAM plugin called auth_pam. This plugin uses dialog.so. It fully supports the PAM protocol with arbitrary communication between client and server.
Oracle-compatible PAM called auth_pam_compat. This plugin uses mysql_clear_password which is a part of Oracle MySQL client. It also has some limitations, such as, it supports only one password input. You must use “-p” option in order to pass the password to auth_pam_compat.
Estamos usando auth_pam_compat , mas você precisa lembrar que o cliente deve oferecer suporte a Plugin de Autenticação do Lado do Cliente do Cleartext
Agora, até o final de 2017, posso sugerir isso:
Percona PAM Authentication Plugin is a free and Open Source implementation of the MySQL‘s authentication plugin. This plugin acts as a mediator between the MySQL server, the MySQL client, and the PAM stack. The server plugin requests authentication from the PAM stack, forwards any requests and messages from the PAM stack over the wire to the client (in cleartext) and reads back any replies for the PAM stack.
NÃO é testado e nunca trabalhei com ele, queria sugerir isso, pois pode ser bom.
Tags authentication mysql ldap