MySQL 和 LDAP 协同工作以获取用户、凭证和组信息。有关简单 LDAP 身份验证过程的概述，请参阅 MySQL 用户的 LDAP 身份验证如何工作。要在 MySQL Shell 中使用简单的 LDAP 身份验证，必须满足以下条件：

MySQL 服务器能够接受来自 LDAP 目录中 MySQL 授权表之外定义的用户的连接。客户端和服务器端 SASL LDAP 插件使用 SASL 消息在 LDAP 协议内安全传输凭据（请参阅 使用 LDAP 可插入身份验证）。

对于基于 SASL 的身份验证，必须使用 authentication_ldap_sasl服务器端插件和可选的 MySQL 帐户身份验证所依据的 LDAP 条目来标识 MySQL 用户。例如：

CREATE USER 'sammy'@'localhost' 
   IDENTIFIED WITH authentication_ldap_sasl
   BY 'uid=sammy_ldap,ou=People,dc=my-domain,dc=com';

客户端插件随 MySQL 服务器包一起提供，authentication_ldap_sasl_client 而不是内置到libmysqlclient 客户端库中。MySQL Shell 提供持久连接选项 shell.options.mysqlPluginDir，使您能够定义所需插件的位置。或者，您可以通过使用非持久命令行选项指定路径来覆盖持久设置 --mysql-plugin-dir。例如，以下命令允许您在 Linux 主机上为上一示例中创建的用户建立全局会话：

$> mysqlsh sammy@localhost:3308 --mysql-plugin-dir="/usr/local/mysql/lib/plugin"
Please provide the password for 'sammy@localhost:3308': sammy_password (sammy_ldap LDAP password)

有关其他用法示例，请参阅 使用代理 和 LDAP 身份验证组首选项和映射规范的 LDAP 身份验证。

MySQL Shell 还支持通过 LDAP SASL 进行 Kerberos 身份验证。使用通用安全服务应用程序编程接口 (GSSAPI) 安全抽象接口，这种类型的连接向 Kerberos 进行身份验证以获取服务凭证，然后依次使用这些凭证来实现对其他服务的安全访问。仅支持 GSSAPI/Kerberos 作为 Linux 上的 MySQL 服务器和 MySQL Shell 的 LDAP 身份验证方法。

GSSAPI 库和 Kerberos 服务必须对 MySQL 服务器可用，连接才能成功。有关服务器端配置信息， 请参阅 GSSAPI/Kerberos 身份验证方法。

下面的一般示例创建了代理用户 named lucy@MYSQL.LOCAL，它承担了被代理用户 named 的特权 proxied_krb_usr。它假定在​​ Kerberos 配置文件 MYSQL.LOCAL中配置 了领域域。/etc/krb5.conf

CREATE USER 'lucy@MYSQL.LOCAL' 
   IDENTIFIED WITH authentication_ldap_sasl 
   BY '#krb_grp=proxied_krb_user';
CREATE USER 'proxied_krb_user';
GRANT ALL PRIVILEGES ON my_db.* TO 'proxied_krb_user';
GRANT PROXY on 'proxied_krb_user' TO 'lucy@MYSQL.LOCAL';

以下命令允许您在 Linux 主机上为上一示例中创建的用户建立全局会话。您必须指定服务器插件目录的位置，作为持久 shell.options.mysqlPluginDir连接选项或作为非持久命令选项，例如：

$> mysqlsh lucy%40MYSQL.LOCAL:password@localhost:3308/my_db 
--mysql-plugin-dir="/usr/local/mysql/lib/plugin"

在此示例中，百分比编码 ( %40) 替换主体名称中的保留@字符，并且password是为 MySQL 服务器变量设置的值 authentication_ldap_sasl_bind_root_pwd。有关通过 LDAP SASL 进行 Kerberos 身份验证的服务器变量列表，请参阅 为 GSSAPI/Kerberos 配置服务器端 SASL LDAP 身份验证插件。

在调用 MySQL Shell 之前，您可以独立于 MySQL 从密钥分发中心获取并缓存票证授予票证。在这种情况下，调用 MySQL Shell 而不指定用户名或密码选项：

$> mysqlsh localhost:3308/my_db --auth-method=authentication_ldap_sasl_client 
--mysql-plugin-dir="/usr/local/mysql/lib/plugin"

--auth-method=authentication_ldap_sasl_client 省略用户凭据时，必须 指定该 选项。

MySQL Shell 能够为使用 authentication_kerberos服务器端身份验证插件的帐户建立连接，前提是正确的 Kerberos 票证可用或可以从 Kerberos 获得。从 MySQL 企业版 8.0.27 开始，该功能在运行 Linux 和 Windows 的主机上可用（版本 8.0.26 仅支持 Linux）。有关详细的设置信息，请参阅 Kerberos 可插入身份验证。

Kerberos 身份验证可以将用户名（例如lucy）和用户帐户中指定的领域域（例如 MYSQL.LOCAL）结合起来构造用户主体名称 (UPN)，例如 lucy@MYSQL.LOCAL. 要创建与 UPN 对应的 MySQL 帐户 lucy@MYSQL.LOCAL，请使用以下语句：

CREATE USER 'lucy' 
   IDENTIFIED WITH authentication_kerberos 
   BY 'MYSQL.LOCAL';

客户端插件使用 UPN 和密码获取票证授予票证 (TGT)，使用 TGT 获取 MySQL 服务票证 (ST)，并使用 ST 向 MySQL 服务器进行身份验证。

以下命令允许您在 Linux 主机上为上一示例中创建的用户建立全局会话。您必须指定服务器插件目录的位置，作为持久 shell.options.mysqlPluginDir连接选项或作为非持久命令选项，例如：

$> mysqlsh lucy:3308 --mysql-plugin-dir="/usr/local/mysql/lib/plugin"
Please provide the password for 'lucy@localhost:3308': UPN_password

在调用 MySQL Shell 之前，您可以独立于 MySQL 从密钥分发中心获取并缓存 TGT。在这种情况下，调用 MySQL Shell 而不指定用户名或密码选项：

$> mysqlsh localhost:3308 --auth-method=authentication_kerberos_client
--mysql-plugin-dir="/usr/local/mysql/lib/plugin"

--auth-method=authentication_kerberos_client 省略用户凭据时，必须 指定该 选项。