Auditando conexões usando certificados

1

Gostaríamos que os clientes se conectassem ao nosso servidor MariaDB, usando certificados de cliente de um emissor confiável (interno) e, em seguida, registrassem qual usuário estava conectado.

Infelizmente, as seguintes limitações estão impedindo o sucesso:

  • É possível confiar em todos do mesmo emissor, mas todos eles precisam ser mapeados para o mesmo usuário do MariaDB.
  • É possível auditar conexões de usuários de log, mas os logs mostram apenas o usuário real do MariaDB, não o assunto do certificado que o cliente está usando.
  • Não é possível criar dinamicamente usuários reais do MariaDB com base no certificado de cliente.

Existe uma solução para o nosso dilema, além de pré-preencher um usuário MariaDB para cada possível certificado de cliente?

    
por David Timothy Strauss 05.09.2014 / 23:57

1 resposta

0

Sim, você está fadado a criar um usuário do MariaDB para cada usuário que deseja se conectar ao servidor, com um REQUIRE SUBJECT '/CN=foo/[email protected]/' . É uma sintaxe horrível e propensa a erros. O gerenciamento de usuários do MySQL é de muitas maneiras.

    
por 13.08.2015 / 03:40