Utilizzare LDAP per l'autenticazione MySQL?

Eseguiamo una dozzina di server MySQL diversi per i nostri utenti. Questi usano la versione gratuita / Open Source di MySQL, non la versione commerciale. Gestire le password degli account su questi server è doloroso.

Ci sono plugin che ci permetterebbero di usare LDAP per aiutare a gestire i privilegi di MySQL? Come minimo, vorremmo ottenere alcuni nomi utente e password dai server LDAP.

Stiamo usando MySQL 5.1 e 5.5. Potremmo essere disposti ad aggiornare a MySQL 5.6 se è necessario per ottenere questa funzionalità.

Preferiremmo che tutti gli strumenti fossero basati sulla CLI e non richiedessero una GUI o un'interfaccia web.

Enterprise MySQL (la versione che si paga a Oracle per la licenza) ha un modulo PAM che consente l'autenticazione LDAP: https://dev.mysql.com/doc/refman/5.5/en/pam-pluggable-authentication.html

MariaDB (una versione binaria compatibile di MySQL sviluppata da Monty) ha a disposizione un modulo PAM open source: http://kb.askmonty.org/en/pam-authentication-plugin/

Non ho esperienza diretta con nessuno dei due - li presento solo come funzionalità di cui ho sentito parlare ma che non ho testato o usato da solo.

È possibile utilizzare il auth_ldapplug-in fornito da Infoscope Hellas LP sotto GPL.

Può essere scaricato da sourceforge qui .

( Homepage )

Il plug-in è ancora una versione beta e funziona solo per le installazioni UNIX.

Un proxy Mysql può abilitarlo utilizzando i ruoli. Maggiori dettagli sono disponibili qui: /programming/1329963/using-ldap-ad-for-mysql-authenication e qui: http://jan.kneschke.de/2009/6/25/mysql -proxy-roles /

MySQL ha un plug-in di autenticazione PAM che ti consentirà di utilizzare qualsiasi modulo PAM disponibile per fornire servizi di autenticazione. C'è un pam_ldapmodulo che è relativamente facile da configurare che dovrebbe permetterti di fare quello che vuoi.

La documentazione del plug-in include un esempio usando LDAP .

Ho pubblicato nel mio blog un esempio completo (con codice sorgente) di un plug-in di autenticazione LDAP per MySQL.

http://nafiux.com/blog/2012/08/11/mysql-ldap-authentication-plugin/

Puoi migrare le tue installazioni su Percona Server e usare uno di questi due modi per connettere MySQL a LDAP tramite PAM:

• Plug-in PAM completo chiamato auth_pam. Questo plugin utilizza dialog.so. Supporta pienamente il protocollo PAM con comunicazione arbitraria tra client e server.

• PAM compatibile con Oracle chiamato auth_pam_compat. Questo plugin utilizza mysql_clear_password che fa parte del client Oracle MySQL. Ha anche alcune limitazioni, ad esempio, supporta solo un input di password. È necessario utilizzare l'opzione "-p" per passare la password a auth_pam_compat.

http://www.percona.com/doc/percona-pam-for-mysql/intro.html

Stiamo utilizzando auth_pam_compatma devi ricordare che il client deve supportare il plug-in di autenticazione lato client Cleartext

Ora entro la fine del 2017, posso suggerire questo:

https://www.percona.com/doc/percona-server/LATEST/management/pam_plugin.html

Percona PAM Authentication Plugin è un'implementazione gratuita e Open Source del plugin di autenticazione di MySQL. Questo plugin funge da mediatore tra il server MySQL, il client MySQL e lo stack PAM. Il plug-in del server richiede l'autenticazione dallo stack PAM, inoltra al client tutte le richieste e i messaggi dallo stack PAM tramite il filo (in chiaro) e legge le risposte per lo stack PAM.

NON è testato e non ci ho mai lavorato, volevo suggerirlo perché potrebbe essere buono.