Utilizzo di LDAP (AD) per l'autenticazione MySQL

Question

sto cercando di elaborare un piano per consentire agli utenti di Auth con un database MySQL (molti, in realtà) tramite LDAP. Più specificamente, ActiveDirectory. Il database sarà probabilmente accessibile attraverso le applicazioni, non il web. Quali sono le mie opzioni?

EDIT:

Va bene. Sembra che non ci sia un modo "ufficiale" per consentire l'autenticazione su MySQL usando LDAP. Quali altre opzioni esistono? Possiamo sincronizzare utenti e password LDAP con la tabella utente MySQL?

Answer 1

questo è possibile con delega mysql. ci sono alcune cose che dovete sapere per fare questo lavoro:

• delega mysql in grado di eseguire comandi della shell
• mysql proxy può intercettare e riscrivere l'autenticazione

queste due pagine vi aiuterà a iniziare:

• esempio di esecuzione di un comando shell: http://forge.mysql.com/tools/tool.php?id=79
• esempio di interceptin g e l'autenticazione riscrittura: http://web.archive.org/web/20150329071023/http://jan.kneschke.de/2009/6/25/mysql-proxy-roles/

Answer 2

Io personalmente non riesce a trovare alcuna informazione che suggerisce che questo è possibile. Tutto quello che vedo è usare MySQL come archivio dati per la directory LDAP.

Answer 3

sembra che tu areout of luck :(

Potresti usare PostgreSQL?

Questo metodo di autenticazione funziona in modo simile a una password, tranne che utilizza LDAP come metodo di autenticazione. LDAP viene utilizzato solo per convalidare la . Pertanto l'utente deve già esistere utente coppie nome/password nel database prima LDAP può essere utilizzato per l'autenticazione il server ei parametri utilizzati sono specificate dopo la parola chiave LDAP nel file pg_hba.conf il formato di questo parametro è:..

ldap[s]://servername[:port]/base dn[;prefix[;suffix]]

Answer 4

prega guarda http://dev.mysql.com/doc/refman/5.5/en/news-5-5-7.html

Questo è nel candidato 5.5.7 rilascio

Answer 5

Questo è possibile ora con le estensioni commerciali, per esempio con MySQL External Authentication for Windows:

Ciò consente di configurare MySQL per utilizzare i servizi nativi di Windows per autenticare le connessioni client. Gli utenti che si sono collegati a Windows possono connettersi da MySQL programmi client al server in base alle informazioni del token nel loro ambiente senza specificare una password aggiuntiva.

Answer 6

È possibile utilizzare il plugin auth_ldap fornito da InfoScope Hellas L.P. sotto licenza GPL.

Può essere scaricato da sourceforge a: http://sourceforge.net/projects/mysqlauthldap/

Homepage: http://infoscope.gr/mysqlauthldap

Il plugin è ancora una beta e funziona solo per le installazioni UNIX.

Answer 7

Ora entro la fine del 2017, posso suggerire questo:

https://www.percona.com/doc/percona-server/LATEST/management/pam_plugin.html

Percona PAM plugin è un'implementazione gratuito e Open Source del plugin di autenticazione del MySQL. Questo plugin funge da mediatore tra il server MySQL, il client MySQL e lo stack PAM. Il plug-in del server richiede l'autenticazione dallo stack PAM, inoltra eventuali richieste e messaggi dallo stack PAM sul cavo al client (in chiaro) e legge eventuali risposte per lo stack PAM.

È NON testato, non so ancora quanto è buono.

Answer 8

Questo è sicuramente possibile. Vedi qui: https://www.percona.com/blog/2017/04/21/how-to-setup-and-troubleshoot-percona-pam-with-ldap-for-external-authentication/

Nel mio ambiente, non ho configurato Samba o NSS/SSS e non mi sono unito al dominio di Windows. Tratto semplicemente il server AD come endpoint LDAP. Quindi ho iniziato dal passaggio 9 nelle direzioni sopra.

EDIT: aggiungere istruzioni dall'alto collegamento come suggerito da AfroThundr

Installare il plugin Percona PAM:

mysql> INSTALL PLUGIN auth_pam SONAME 'auth_pam.so'; 
Query OK, 0 rows affected (0.01 sec) 

mysql> INSTALL PLUGIN auth_pam_compat SONAME 'auth_pam_compat.so'; 
Query OK, 0 rows affected (0.00 sec) 

Configura Percona PAM per l'autenticazione LDAP con la creazione di /etc/pam.d/ mysqld con questo contenuto:

auth required pam_ldap.so 
account required pam_ldap.so 

Creare un utente MySQL che l'autenticazione tramite auth_pam:

mysql> CREATE USER user@'%' IDENTIFIED WITH auth_pam; 
Query OK, 0 rows affected (0.00 sec) 

mysql> GRANT ALL PRIVILEGES ON testdb.* TO user@'%'; 
Query OK, 0 rows affected (0.00 sec) 

mysql> FLUSH PRIVILEGES; 
Query OK, 0 rows affected (0.00 sec) 

login come questo utente e controllare sovvenzioni:

[root@ps-20 ~]# mysql -u user 
Password: <your LDAP/AD password> 
Welcome to the MySQL monitor. Commands end with ; or g. 
Your MySQL connection id is 22 
Server version: 5.7.17-13 Percona Server (GPL), Release 13, Revision fd33d43 

Copyright (c) 2009-2016 Percona LLC and/or its affiliates 
Copyright (c) 2000, 2016, Oracle and/or its affiliates. All rights reserved. 

Oracle is a registered trademark of Oracle Corporation and/or its 
affiliates. Other names may be trademarks of their respective 
owners. 

Type 'help;' or 'h' for help. Type 'c' to clear the current input statement. 

mysql> SHOW GRANTS; 
+-----------------------------------------------------+ 
| Grants for user@%         | 
+-----------------------------------------------------+ 
| GRANT USAGE ON *.* TO 'user'@'%'     | 
| GRANT ALL PRIVILEGES ON `testdb`.* TO 'user'@'%' | 
+--------------------------------------------------- 

attenzione anche di AppArmor - bloccherà il tentativo di autenticazione.Si può visualizzare messaggi di errore fuorvianti in /var/log/auth.log:

Feb 12 13:37:36 mysqld[15164]: PAM _pam_init_handlers: no default config /etc/pam.d/other 
Feb 12 13:37:36 mysqld[15164]: PAM error reading PAM configuration file 
Feb 12 13:37:36 mysqld[15164]: PAM pam_start: failed to initialize handlers 

è necessario aggiungere quanto segue a /etc/apparmor.d/local/usr.sbin.mysqld:

#include <abstractions/authentication>

e ricaricare AppArmor:

service apparmor restart

(Grazie a https://bugs.launchpad.net/ubuntu/+source/squid/+bug/1608984 per avermi condotto alla parte AppArmor)