Windows 可插入身份验证是 MySQL Enterprise Edition 中包含的扩展,这是一种商业产品。要了解有关商业产品的更多信息,请参阅https://www.mysql.com/products/。
MySQL Enterprise Edition for Windows 支持在 Windows 上执行外部认证的认证方法,使 MySQL Server 可以使用本机 Windows 服务来认证客户端连接。登录到Windows的用户可以根据他们环境中的信息从MySQL客户端程序连接到服务器,而无需指定额外的密码。
客户端和服务器在认证握手中交换数据包。作为此交换的结果,服务器会创建一个安全上下文对象,该对象表示 Windows 操作系统中客户端的身份。此身份包括客户帐户的名称。Windows 可插入身份验证使用客户端的身份来检查它是给定帐户还是组成员。默认情况下,协商使用 Kerberos 进行身份验证,如果 Kerberos 不可用,则使用 NTLM。
Windows 可插入身份验证提供以下功能:
外部身份验证:Windows 身份验证使 MySQL 服务器能够接受来自已登录到 Windows 的 MySQL 授权表之外定义的用户的连接。
代理用户支持:Windows认证可以返回给MySQL一个与客户端程序传递的外部用户名不同的用户名。这意味着该插件可以返回定义外部 Windows 身份验证用户应具有的权限的 MySQL 用户。例如,名为 的 Windows 用户
joe
可以连接并拥有名为 的 MySQL 用户的权限developer
。
下表显示了插件和库文件名。该文件必须位于
plugin_dir
系统变量命名的目录中。
表 6.14 Windows 身份验证的插件和库名称
插件或文件 | 插件或文件名 |
---|---|
服务器端插件 | authentication_windows |
客户端插件 | authentication_windows_client |
库文件 | authentication_windows.dll |
库文件仅包含服务器端插件。客户端插件内置于
libmysqlclient
客户端库中。
服务器端 Windows 身份验证插件仅包含在 MySQL 企业版中。它不包含在 MySQL 社区发行版中。客户端插件包含在所有发行版中,包括社区发行版。这使来自任何发行版的客户端都可以连接到加载了服务器端插件的服务器。
以下部分提供特定于 Windows 可插入身份验证的安装和使用信息:
有关 MySQL 中可插入身份验证的一般信息,请参阅第 6.2.13 节,“可插入身份验证”。有关代理用户信息,请参阅第 6.2.14 节,“代理用户”。
本节介绍如何安装服务器端 Windows 身份验证插件。有关安装插件的一般信息,请参阅第 5.5.1 节,“安装和卸载插件”。
为了被服务器使用,插件库文件必须位于MySQL插件目录(由plugin_dir
系统变量命名的目录)中。plugin_dir
如有必要,通过在服务器启动时
设置值来配置插件目录位置
。
要在服务器启动时加载插件,请使用
--plugin-load-add
选项命名包含它的库文件。使用这种插件加载方法,每次服务器启动时都必须给出该选项。例如,将这些行放在服务器
my.cnf
文件中:
[mysqld]
plugin-load-add=authentication_windows.dll
修改my.cnf
后重启服务器使新设置生效。
或者,要在运行时加载插件,请使用以下语句:
INSTALL PLUGIN authentication_windows SONAME 'authentication_windows.dll';
INSTALL PLUGIN
立即加载插件,并将其注册在
mysql.plugins
系统表中,使服务器在后续每次正常启动时加载它,而无需--plugin-load-add
.
要验证插件安装,请检查
INFORMATION_SCHEMA.PLUGINS
表格或使用SHOW PLUGINS
语句(请参阅
第 5.5.2 节,“获取服务器插件信息”)。例如:
mysql> SELECT PLUGIN_NAME, PLUGIN_STATUS
FROM INFORMATION_SCHEMA.PLUGINS
WHERE PLUGIN_NAME LIKE '%windows%';
+------------------------+---------------+
| PLUGIN_NAME | PLUGIN_STATUS |
+------------------------+---------------+
| authentication_windows | ACTIVE |
+------------------------+---------------+
如果插件无法初始化,请检查服务器错误日志以获取诊断消息。
要将 MySQL 帐户与 Windows 身份验证插件相关联,请参阅
使用 Windows 可插入身份验证。authentication_windows_use_principal_name
和
authentication_windows_log_level
系统变量提供了额外的插件控制
。请参阅
第 5.1.7 节,“服务器系统变量”。
用于卸载 Windows 身份验证插件的方法取决于您的安装方式:
如果您在服务器启动时使用
--plugin-load-add
选项安装了插件,请在不使用该选项的情况下重新启动服务器。如果您在运行时使用
INSTALL PLUGIN
语句安装插件,它会在服务器重新启动后保持安装状态。要卸载它,请使用UNINSTALL PLUGIN
:UNINSTALL PLUGIN authentication_windows;
此外,删除任何设置 Windows 插件相关系统变量的启动选项。
Windows 身份验证插件支持使用 MySQL 帐户,以便已登录 Windows 的用户无需额外指定密码即可连接到 MySQL 服务器。假定服务器在启用服务器端插件的情况下运行,如 安装 Windows 可插入身份验证中所述。一旦 DBA 启用了服务器端插件并设置帐户来使用它,客户端就可以使用这些帐户进行连接,而无需进行其他设置。
IDENTIFIED WITH
要在语句的子句中
引用 Windows 身份验证插件
CREATE USER
,请使用名称authentication_windows
. 假设 Windows 用户Rafal
和
Tasha
应该被允许连接到 MySQL,以及
Administrators
或Power
Users
组中的任何用户。要设置它,请创建一个名为的 MySQL 帐户sql_admin
,该帐户使用 Windows 插件进行身份验证:
CREATE USER sql_admin
IDENTIFIED WITH authentication_windows
AS 'Rafal, Tasha, Administrators, "Power Users"';
插件名称是authentication_windows
. AS
关键字后面的字符串是身份验证字符串。它指定名为Rafal
or的 Windows 用户Tasha
被允许作为 MySQL 用户向服务器进行身份验证
,就像or组sql_admin
中的任何 Windows 用户一样
。后面的组名包含空格,所以必须用双引号字符引起来。
Administrators
Power
Users
创建sql_admin
帐户后,登录到 Windows 的用户可以尝试使用该帐户连接到服务器:
C:\> mysql --user=sql_admin
这里不需要密码。该
authentication_windows
插件使用 Windows 安全 API 来检查哪个 Windows 用户正在连接。如果该用户名为Rafal
or
Tasha
,或者是
Administrators
orPower
Users
组的成员,则服务器授予访问权限,并且客户端经过身份验证sql_admin
并具有授予该
sql_admin
帐户的任何特权。否则,服务器拒绝访问。
Windows 身份验证插件的身份验证字符串语法遵循以下规则:
该字符串由一个或多个用逗号分隔的用户映射组成。
每个用户映射将一个 Windows 用户名或组名与一个 MySQL 用户名相关联:
win_user_or_group_name=mysql_user_name win_user_or_group_name
对于后一种语法,没有
mysql_user_name
给定值,隐式值是CREATE USER
语句创建的 MySQL 用户。因此,这些语句是等价的:CREATE USER sql_admin IDENTIFIED WITH authentication_windows AS 'Rafal, Tasha, Administrators, "Power Users"'; CREATE USER sql_admin IDENTIFIED WITH authentication_windows AS 'Rafal=sql_admin, Tasha=sql_admin, Administrators=sql_admin, "Power Users"=sql_admin';
值中的每个反斜杠字符 (
\
) 必须加倍,因为反斜杠是 MySQL 字符串中的转义字符。不在双引号内的前导和尾随空格将被忽略。
不带引号
win_user_or_group_name
的mysql_user_name
值可以包含除等号、逗号或空格之外的任何内容。如果一个
win_user_or_group_name
and ormysql_user_name
值用双引号引起来,则引号之间的所有内容都是该值的一部分。这是必需的,例如,如果名称包含空格字符。双引号内的所有字符都是合法的,除了双引号和反斜杠。要包含任一字符,请使用反斜杠将其转义。win_user_or_group_name
值使用本地或域中 Windows 主体的常规语法。示例(注意反斜杠加倍):domain\\user .\\user domain\\group .\\group BUILTIN\\WellKnownGroup
当服务器调用以验证客户端时,插件会从左到右扫描验证字符串以查找与 Windows 用户匹配的用户或组。如果匹配,插件返回对应
mysql_user_name
的 MySQL 服务器。如果没有匹配项,则身份验证失败。
用户名匹配优先于组名匹配。假设名为的 Windows 用户
win_user
是的成员
win_group
并且身份验证字符串如下所示:
'win_group = sql_user1, win_user = sql_user2'
当win_user
连接到 MySQL 服务器时,towin_group
和 to
都匹配win_user
。该插件对用户进行身份验证,sql_user2
因为更具体的用户匹配优先于组匹配,即使该组在身份验证字符串中列在第一位。
Windows 身份验证始终适用于来自运行服务器的同一台计算机的连接。对于跨计算机连接,两台计算机都必须在 Microsoft Active Directory 中注册。如果它们在同一个 Windows 域中,则无需指定域名。也可以允许来自不同域的连接,如本例所示:
CREATE USER sql_accounting
IDENTIFIED WITH authentication_windows
AS 'SomeDomain\\Accounting';
这SomeDomain
是另一个域的名称。反斜杠字符加倍,因为它是字符串中的 MySQL 转义字符。
MySQL 支持代理用户的概念,客户端可以使用一个帐户连接到 MySQL 服务器并进行身份验证,但在连接时具有另一个帐户的权限(请参阅 第 6.2.14 节,“代理用户”)。假设您希望 Windows 用户使用单个用户名进行连接,但基于他们的 Windows 用户名和组名映射到特定的 MySQL 帐户,如下所示:
本地和域 Windows 用户应映射到
local_user
MySQL 帐户。MyDomain\domain_user
local_wlad
域组中的用户
MyDomain\Developers
应映射到local_dev
MySQL 帐户。本地机器管理员应该映射到
local_admin
MySQL 帐户。
要设置它,请为 Windows 用户创建一个代理帐户以连接,并配置此帐户,以便用户和组映射到适当的 MySQL 帐户(local_wlad
、、、local_dev
)
local_admin
。此外,授予 MySQL 帐户适合他们需要执行的操作的权限。以下说明使用
win_proxy
作为代理帐户,和
local_wlad
、local_dev
和local_admin
作为代理帐户。
创建代理 MySQL 帐户:
CREATE USER win_proxy IDENTIFIED WITH authentication_windows AS 'local_user = local_wlad, MyDomain\\domain_user = local_wlad, MyDomain\\Developers = local_dev, BUILTIN\\Administrators = local_admin';
为了代理工作,代理帐户必须存在,所以创建它们:
CREATE USER local_wlad IDENTIFIED WITH mysql_no_login; CREATE USER local_dev IDENTIFIED WITH mysql_no_login; CREATE USER local_admin IDENTIFIED WITH mysql_no_login;
被代理的账户使用
mysql_no_login
认证插件来防止客户端使用该账户直接登录MySQL服务器。相反,希望使用 Windows 进行身份验证的用户使用win_proxy
代理帐户。(这假定安装了插件。有关说明,请参阅 第 6.4.1.10 节,“无登录可插入身份验证”。)有关保护代理帐户不被直接使用的替代方法,请参阅 防止直接登录到代理帐户。您还应该执行
GRANT
语句(未显示)以授予每个代理帐户访问 MySQL 所需的权限。向代理帐户
PROXY
授予每个代理帐户的权限:GRANT PROXY ON local_wlad TO win_proxy; GRANT PROXY ON local_dev TO win_proxy; GRANT PROXY ON local_admin TO win_proxy;
local_user
现在,
Windows 用户MyDomain\domain_user
可以在经过身份验证时连接到 MySQL 服务器,win_proxy
并拥有身份验证字符串中给定的帐户的权限(在本例中为
local_wlad
)。MyDomain\Developers
组中以 身份连接
的用户
win_proxy
具有该
local_dev
帐户的权限。该
BUILTIN\Administrators
组中的用户具有该local_admin
帐户的权限。
要配置身份验证以便所有没有自己的 MySQL 帐户的 Windows 用户都通过代理帐户,请将前面的说明中的默认代理帐户 ( ''@''
) 替换为。win_proxy
有关默认代理帐户的信息,请参阅第 6.2.14 节,“代理用户”。
如果您的 MySQL 安装有匿名用户,他们可能会与默认代理用户发生冲突。有关此问题及其处理方法的更多信息,请参阅 默认代理用户和匿名用户冲突。
要在 Connector/NET 8.0 及更高版本中将 Windows 身份验证插件与 Connector/NET 连接字符串一起使用,请参阅 Connector/NET 身份验证。