MySQL中的可插拔身份验证(Pluggable Authentication)(一)

最新推荐文章于 2024-08-22 20:42:12 发布
最新推荐文章于 2024-08-22 20:42:12 发布
阅读量1.1k 收藏 13
点赞数 28
分类专栏: MySQL 文章标签: mysql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011565038/article/details/139765655
版权

Pluggable Authentication(PAM,即可插拔式认证模块)是一种高效且灵活的用户级别的认证方式,广泛应用于现代操作系统,特别是Linux服务器中。它允许数据库管理员(DBAs)为MySQL用户帐户选择和更改不同的认证方法。

当客户端尝试连接到MySQL服务器时,服务器会使用客户端提供的用户名和主机名从mysql.user系统表中查找相应的帐户行。一旦找到该帐户,服务器就会根据帐户行中指定的认证插件来认证客户端。

  • 当MySQL服务器无法找到指定的认证插件时,确实会发生一个错误,并且客户端的连接尝试会被拒绝。这是因为服务器依赖于认证插件来验证用户的凭据(通常是用户名和密码)并确定用户是否有权连接到MySQL服务器。
  • 如果服务器能够找到并加载认证插件,那么它会调用该插件来进行用户认证。一旦认证插件完成了它的工作,它会向服务器返回一个状态,指示用户是否提供了正确的凭据并且被允许连接。如果状态表明用户通过了认证,那么服务器就会接受这个连接,并允许用户进行后续的操作。如果认证插件返回的状态表明用户没有通过认证(比如密码错误),那么服务器会拒绝连接尝试,并且可能会向客户端返回一个错误消息,指示认证失败的原因。

可插拔身份验证实现了以下重要功能:

  • 选择认证方法:不同的认证插件可以实现不同的认证方法,如基于密码的认证、基于证书的认证等。通过使用不同的认证插件,DBAs可以为不同的MySQL帐户选择最适合的认证方法。
  • 外部认证:除了存储在mysql.user表中的凭据外,某些认证插件还支持使用存储在外部系统(如PAM、Windows登录ID、LDAP或Kerberos)中的凭据进行认证。这使得MySQL可以与现有的身份验证系统集成,无需在MySQL内部存储和管理所有凭据。
  • 代理用户:某些认证插件还支持代理用户的概念。在这种情况下,一个用户(代理用户)可以代表另一个用户(被代理用户)进行连接。在连接期间,代理用户将被视为具有被代理用户的权限。这可以用于实现如审计、多租户或其他需要用户之间权限委托的场景。

注意:

当您使用--skip-grant-tables选项启动MySQL服务器时,服务器会跳过权限表的加载,这意味着它不会使用mysql.user表或任何其他权限表来验证客户端的连接请求。因此,即使认证插件已经加载,它们也不会被用于客户端的身份验证。

为了减轻这种安全风险,当您使用--skip-grant-tables选项时,MySQL服务器默认还会启用skip_networking选项。这意味着服务器将不接受来自远程主机的连接,只接受来自运行MySQL服务器的主机(localhost或127.0.0.1)的连接。

1 可用的身份验证插件

MySQL 8.0提供了以下身份验证插件:

  • 执行本地身份验证的插件

在 MySQL 引入可插拔认证(Pluggable Authentication)之前,mysql_native_password 是默认的认证方法,它使用了特定的密码哈希和验证机制。

具体来说,mysql_native_password 插件使用了 MySQL 特定的密码哈希和验证算法。当客户端尝试连接到 MySQL 服务器时,它会发送用户名和密码。服务器使用 mysql_native_password 插件来验证密码。
从MySQL 8.0.34开始,MySQL_native_password身份验证插件已被弃用,并将在未来版本的

MySQL中被删除。

  • 使用SHA-256密码哈希进行身份验证的插件提供了比本地身份验证更强的加密。

  • 一个客户端插件,用于在不进行哈希或加密的情况下将密码发送到服务器。此插件与服务器端插件一起使用,服务器端插件需要访问客户端用户提供的密码。
  • 一个插件,使用PAM(可插拔身份验证模块)执行外部身份验证,使MySQL Server能够使用PAM对MySQL用户进行身份验证。这个插件也支持代理用户。
  • 一个在Windows上执行外部身份验证的插件,使MySQL Server能够使用本机Windows服务来验证客户端连接。登录到Windows的用户可以根据其环境中的信息从MySQL客户端程序连接到服务器,而无需指定额外的密码。这个插件也支持代理用户。
  • 使用LDAP(轻量级目录访问协议)执行身份验证的插件,通过访问X.500等目录服务对MySQL用户进行身份验证。这些插件也支持代理用户。
  • 一个插件,使用Kerberos执行身份验证,以验证与Kerberos主体相对应的MySQL用户。
  • 阻止所有客户端连接到任何使用它的帐户的插件。此插件的使用情况包括代理帐户,这些帐户永远不应该允许直接登录,但只能通过代理帐户访问,并且这些帐户必须能够以提升的权限执行存储的程序和视图,而不会将这些权限暴露给普通用户。
  • 一个插件,用于验证通过Unix套接字文件从本地主机连接的客户端。
  • 一个插件,使用FIDO身份验证将用户身份验证到MySQL Server。从MySQL 8.0.35开始,authentication_fido和authentication_fildo_client身份验证插件已弃用,并将在未来版本的MySQL中删除。
  • 一个测试插件,用于检查帐户凭据并将成功或失败记录到服务器错误日志中。此插件用于测试和开发目的,并作为如何编写身份验证插件的示例。

2 默认身份验证插件

CREATE USER和ALTER USER语句具有用于指定帐户身份验证方式的语法。此语法的某些形式不会显式命名身份验证插件(没有IDENTIFIED WITH子句)。例如:

CREATE USER 'jeffrey'@'localhost' IDENTIFIED BY 'password';

在这种情况下,服务器会为帐户分配默认的身份验证插件。在MySQL 8.0.27之前,此默认值是default_authentication_plugin系统变量的值。

从引入多因素身份验证的MySQL 8.0.27开始,最多可以有三个子句指定帐户如何进行身份验证。为未命名插件的身份验证方法确定默认身份验证插件的规则是特定于因素的:

  • 因素1:如果authentication_policy元素1命名了一个身份验证插件,则该插件为默认插件。如果authentication_policy元素1为*,则default_authentication_plugin的值为默认值。

给定上述规则,以下语句将创建一个双因素身份验证帐户,第一个因素身份验证方法由authentication_policy或default_authentication_plugin设置确定:

CREATE USER 'wei'@'localhost' IDENTIFIED BY 'password'
  AND IDENTIFIED WITH authentication_ldap_simple;

以同样的方式,此示例创建了一个三个因素身份验证帐户:

CREATE USER 'mateo'@'localhost' IDENTIFIED BY 'password'
  AND IDENTIFIED WITH authentication_ldap_simple
  AND IDENTIFIED WITH authentication_fido;

您可以使用SHOW CREATE USER来查看应用的身份验证方法。

  • 因素2或3:如果相应的authentication_policy元素命名了一个身份验证插件,则该插件为默认插件。如果authentication_policy元素为*或为空,则没有默认值;尝试在不命名插件的情况下为该因素定义帐户身份验证方法是错误的,如以下示例所示:
mysql> CREATE USER 'sofia'@'localhost' IDENTIFIED WITH authentication_ldap_simple 
       AND IDENTIFIED BY 'abc';
ERROR 1524 (HY000): Plugin '' is not loaded

mysql> CREATE USER 'sofia'@'localhost' IDENTIFIED WITH authentication_ldap_simple 
       AND IDENTIFIED BY 'abc';
ERROR 1524 (HY000): Plugin '*' is not loaded

3 身份验证插件使用情况

本文提供有关安装和使用身份验证插件的一般说明。通常,可插拔身份验证在服务器端和客户端使用一对相应的插件,因此您可以使用如下给定的身份验证方法:

  • 如有必要,请安装包含适当插件的一个或多个插件库。在服务器主机上,安装包含服务器端插件的库,以便服务器可以使用它来验证客户端连接。同样,在每个客户端主机上,安装包含客户端插件的库,供客户端程序使用。不需要安装内置的身份验证插件。
  • 对于您创建的每个MySQL帐户,指定用于身份验证的适当服务器端插件。如果帐户要使用默认的身份验证插件,则帐户创建语句无需显式指定该插件。服务器分配默认的身份验证插件,如“默认身份验证插件”中所述确定。
  • 当客户端连接时,服务器端插件告诉客户端程序要使用哪个客户端插件进行身份验证。

在帐户使用服务器和客户端程序默认的身份验证方法的情况下,服务器不需要与客户端通信要使用哪个客户端插件,并且可以避免客户端/服务器协商中的往返。

对于标准的MySQL客户端,如MySQL和mysqladmin,可以在命令行上指定--default auth=plugin_name选项,作为程序可以使用的客户端插件的提示,尽管如果与用户帐户关联的服务器端插件需要不同的客户端插件,则服务器会覆盖此选项。

如果客户端程序找不到客户端插件库文件,请指定--plugin-dir=dir_name选项来指示插件库目录位置。

icysmile131
关注
  • 28
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mysql企业版安装身份验证_MySQL身份验证——Pluggable Authentication
weixin_36485371的博客
01-28 432
写一篇关于MySQL身份验证的内容,在这一篇里主要介绍MySQL的插件验证方式。在介绍插件验证方式之前,简要说明一下MySQL的访问控制是如何实现的。MySQL的访问控制通过两个步骤来实现:一、验证连接:在这个步骤里包括对帐户和密码是否正确进行验证以及账户是否被锁定。如果没有通过验证,则服务器拒绝访问,反之进入第二步。二、请求验证:在这个步骤里,服务器对用户发出的每个操作请求进行检查,确认该账户是...
cve-2017-3599复现
Yale的博客
04-02 3710
Cve-2017-3599 背景: Oracle MySQLMySQL服务器组件的漏洞(子组件:服务器:Pluggable Auth)。 受影响的受支持版本是5.6.35及更早版本以及5.7.17及更早版本。 容易“利用”的漏洞允许通过多种协议进行网络访问的未经身份验证的攻击者破坏MySQL服务器。 成功攻击此漏洞可能导致未经授权的能力导致MySQL服务器挂起或频繁可重复崩溃(完整的DOS) ...
MySQL的可插拔身份验证Pluggable Authentication)(二)
u011565038的博客
07-04 770
Pluggable Authentication(PAM,即可插拔式认证模块)是一种高效且灵活的用户级别的认证方式,广泛应用于现代操作系统,特别是Linux服务器。它允许数据库管理员(DBAs)为MySQL用户帐户选择和更改不同的认证方法。
MySQL8认证插件——Kerberos Pluggable Authentication
贺浦力特的博客
06-25 339
Kerberos可插拔身份验证是商业产品MySQL Enterprise Edition包含的扩展。MySQL Enterprise Edition支持一种身份验证方法,该方法允许用户使用Kerberos对MySQL Server进行身份验证,前提是可以获得适当的Kerberos票证。此身份验证方法在MySQL 8.0.26及更高版本可用,适用于Linux上的MySQL服务器和客户端。
MySQL8认证插件——PAM Pluggable Authentication
贺浦力特的博客
06-25 648
MySQL Enterprise Edition支持一种身份验证方法,使MySQL Server能够使用PAM(可插拔身份验证模块)对MySQL用户进行身份验证。PAM使系统能够使用标准接口访问各种身份验证方法,例如传统的Unix密码或LDAP目录。● 外部身份验证:PAM身份验证使MySQL Server能够接受来自MySQL授权表之外定义的用户的连接,并使用PAM支持的方法进行身份验证
MySQL8认证插件—LDAP Pluggable Authentication
贺浦力特的博客
06-25 655
原创2023-05-05 19:00·MySQL Enterprise Edition支持一种身份验证方法,使MySQL Server能够使用LDAP(轻量级目录访问协议)通过访问X.500等目录服务来对MySQL用户进行身份验证MySQL使用LDAP来获取用户、凭据和组信息。● 外部身份验证:LDAP身份验证使MySQL Server能够接受来自LDAP目录MySQL授权表之外定义的用户的连接。
MySQL8认证插件——FIDO Pluggable Authentication
贺浦力特的博客
07-06 674
说明:FIDO可插拔身份验证是商业产品MySQL Enterprise Edition包含的扩展。MySQL Enterprise Edition支持一种身份验证方法,该方法允许用户使用FIDO身份验证MySQL Server进行身份验证。此身份验证方法在MySQL 8.0.27及更高版本可用。FIDO代表快速身份在线,它提供了不需要使用密码的身份验证标准。● FIDO允许使用智能卡、安全密钥和生物识别读取器等设备对MySQL Server进行身份验证
MySQL8认证插件——Native Pluggable Authentication
贺浦力特的博客
06-06 374
这次来翻译一下 MySQL8认证插件, 欢迎指正。目前MySQL认证插件种类有如下:插件适用版本说明基于本机密码哈希方法实现身份验证实现SHA-256身份验证(如sha256_password),但在服务器端使用缓存基于本机使用SHA-256密码哈希执行身份验证客户端身份验证插件,可以让客户端将密码以明文形式发送到服务器,而不需要哈希或加密。这个插件内置在MySQL客户端库仅支持MySQL Enterprise。
MySQL8认证插件—Windows Pluggable Authentication
贺浦力特的博客
06-25 208
MySQL Enterprise Edition for Windows支持在Windows上执行外部身份验证身份验证方法,使MySQL Server能够使用本机Windows服务来验证客户端连接。登录到Windows的用户可以根据其环境的信息从MySQL客户端程序连接到服务器,而无需指定额外的密码。客户端和服务器在身份验证握手交换数据包。作为此交换的结果,服务器创建一个安全上下文对象,该对象表示Windows操作系统客户端的标识。此标识包括客户端帐户的名称。
mysql PAM验证 命令
06-02
PAM(Pluggable Authentication Module)是一种可插拔身份验证机制,在Linux系统得到广泛应用。在MySQL,可以启用PAM验证来增强数据库的安全性。要启用PAM验证,需要进行以下步骤: 1. 安装PAM模块: ``` ...
掌握PAM:Linux身份验证、授权和账户管理
PAM(Pluggable Authentication Modules)是一个用于管理和控制Linux系统身份验证和授权的框架。它提供了一种灵活的方式,允许系统管理员通过配置不同的认证模块来实现各种身份验证方式。 PAM的主要作用是将身份...
MySQL8报Public Key Retrieval is not allowed 上次修改发生在1月28日09:51
08-15
MySQL8报错"Public Key Retrieval is not allowed"的原因是由于MySQL8的新特性启用了Caching SHA-2 Pluggable Authentication(Caching SHA-2可插拔身份验证),该特性要求在连接数据库时进行公钥检索,而默认情况...
MySQL8 新特性
08-15
6. **插件式安全模型(Pluggable Authentication Services, PAM)**:引入了可插拔身份验证服务,允许管理员选择不同的身份验证方法,如Kerberos或SSO。 7. **内存的临时表(InnoDB Buffer Pool Changes)**:...
增强Eclipse连接MySQL数据库的安全性:保护数据免遭攻击
然而,默认情况下,Eclipse连接MySQL数据库存在一些安全隐患,可能导致敏感数据泄露或未经授权的访问。 **1.1 密码存储在明文** 默认情况下,Eclipse将MySQL连接信息(包括密码)存储在明文,这使得攻击者可以...
MySQL对JSON数据类型的处理
cesske的博客
08-21 407
MySQL从5.7版本开始提供了对JSON数据类型的支持,‌使得MySQL能够直接存储和管理JSON格式的数据。‌这使得在数据库处理JSON数据变得更为方便和高效。‌以下是一些常用的处理JSON数据的函数和操作:‌。通过这些操作和函数,‌MySQL允许你灵活地处理JSON数据,‌使得在数据库层面进行复杂的数据操作成为可能。4.‌使用JSON_EXTRACT提取JSON字段。9.‌删除JSON的键值对。8.‌替换JSON的值。10.‌搜索JSON数据。2.‌插入JSON数据。6.‌更新JSON数据。
mysql update锁表(踩坑)
最新发布
Mr_Huang_1的博客
08-22 341
服务B开启事务(@Transactional)方法内对xxx表进行非查询操作;服务A开启事务(@Transactional)方法内对xxx表进行修改操作;然后远程调用服务B,服务B内在对xxx表进行非查询操作就会报错;接口走服务A先对xxx表进行了修改操作,导致此表上锁;mysql在执行更新语句的时候会会上锁;根据主键ID更新的时候会锁行;非主键ID更新的时候会锁表;
MySQL创建与删除表
weixin_69053029的博客
08-21 342
表名(列名 类型,列名 类型......);
PAM配置问题:PAM(Pluggable Authentication Modules)是Linux用于身份验证的模块化框架。如果PAM配置不正确,可能会导致无法成功鉴定用户。请检查PAM配置文件,确保其正确配置。 应该查看那些配置项
05-20
PAM配置文件通常是位于/etc/pam.d/目录下的文件,每个文件对应一个服务或应用程序。每个PAM配置文件包含多个配置项,其一些重要的配置项包括: 1. auth:用于身份验证,例如密码验证和SmartCard验证。 2. account:用于账户管理,例如检查用户是否过期或禁用。 3. password:用于密码管理,例如允许用户更改密码。 4. session:用于会话管理,例如在用户登录和注销时执行操作。 这些配置项有一些关键字,例如required、sufficient、requisite和optional。这些关键字指定了必需的模块和可选的模块之间的关系。必需的模块必须成功运行,否则身份验证将失败,而可选的模块可以失败而不会影响身份验证的结果。 因此,在检查PAM配置文件时,需要确保每个配置项都正确配置,包括必需的模块和可选的模块。同时,需要确保关键字的使用正确,以便正确处理模块之间的关系。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值