Для MySQL представлен открытый плагин для аутентификации через PAM

08.12.2011 14:28

Компания Percona представила первую версию плагина для организации аутентификации пользователей MySQL через интерфейс PAM (Pluggable Authentication Modules). Плагин совместим с СУБД MySQL-5.5.x, Percona Server 5.5.x и MariaDB 5.2.x. Поддерживается аутентификация с использованием различных PAM-модулей, включая pam_unix (системная база пользователей), pam_ldap (LDAP) и модуль для сервер RSA SecurID.

Код плагина распространяется под лицензией GPLv2. Бинарные сборки доступны в виде универсального архива для систем x86_64 и в виде RPM-пакетов для дистрибутивов RHEL5/RHEL6. Аналогичную функциональность планируется интегрировать в следующий релиз СУБД MariaDB 5.2.10 (в версии MariaDB 5.2.11 дополнительно появится открытый плагин для использования механизмов аутентификации Windows).

Создание открытого плагина стало ответом на намерение компании Oracle включить в состав версии MySQL Enterprise Edition 5.6 нескольких плотно интегрированных в СУБД коммерческих модулей, обеспечивающих расширение функциональности. Один из таких модулей был нацелен на обеспечение внешней аутентификации пользователей через PAM. Наличие открытого аналога сводит на нет коммерческую привлекательность закрытого модуля.

исправить +8 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/32501-mysql

Ключевые слова: mysql, auth, pam, plugin

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (11)

1.1, Xasd (ok), 18:34, 08/12/2011 [ответить] [﹢﹢﹢] [ · · · ]

+/–

в инструкции ( http://www.percona.com/doc/percona-pam-for-mysql/manual.html#creating-a-user ) написанно что нового пользователя можно создать так:

CREATE USER 'username'@'host' IDENTIFIED WITH auth_pam_server;

это всё конешно хорошо.... но не написанно:

...как этот пользовтель будет подключение к базе данных?
в качестве пароля должен будет использоваться стандартный unix-пароль?
или вообще пароль использовать не потребуется (в случае если подключение происходит к localhost) ?

2.3, aim (ok), 19:15, 08/12/2011 [^] [^^] [^^^] [ответить]	+/–
так PAM означает что будет можно хоть по ключу на флешке авторизоваться - этим как раз и занимается pam сервер

3.5, Xasd (ok), 19:37, 08/12/2011 [^] [^^] [^^^] [ответить]	+/–
тоесть -- ответ то какой? :-) # p.s.: в документации например ясно написанно что нужны root-привелегии чтобы добраться до файла /etc/shadow ... тут понятное дело что имеется ввиду обычная ПРАКТИЧЕСКАЯ (а не флэшо-теоретическая) ситуация..... вот щаз я ипрашиваю про обычную практическую ситуацию :-)

4.6, Аноним (-), 20:47, 08/12/2011 [^] [^^] [^^^] [ответить]	+/–
В в современном линуксе pam_unix.so для чтения /etc/shadow использует отдельный суидный бинарник и не требует рутовых прав.

2.9, Anonymouse (?), 23:21, 08/12/2011 [^] [^^] [^^^] [ответить]	+1 +/–
Ну ты перец! :) >...как этот пользовтель будет подключение к базе данных? Ежу ясно - как PAM настроишь - так и будет.

2.11, XoRe (ok), 17:41, 09/12/2011 [^] [^^] [^^^] [ответить]

+/–

> в инструкции ( http://www.percona.com/doc/percona-pam-for-mysql/manual.html#creating-a-user
> ) написанно что нового пользователя можно создать так:
> CREATE USER 'username'@'host' IDENTIFIED WITH auth_pam_server;
> это всё конешно хорошо.... но не написанно:
> ...как этот пользовтель будет подключение к базе данных?

стандартно)

> в качестве пароля должен будет использоваться стандартный unix-пароль?

Если грубо - да.
А точнее, будет обращение к подсистеме pam.
PAM - Pluggable Authentication Modules, подключаемые модули аутентификации.
Это такая штука, в которой можно настроить, что спрашивать у юзера:
- пароль стандартный
- пароль одноразовый
- флешку
- отпечаток пальца
- сетчатку глаза
- образец голоса

А так же, откуда смотреть список юзеров:
- из shadow
- из txt файла
- из sql базы
- из ldap

Если вы делаете какую-то штуку с авторизацией, вы можете не изобретать свой велосипед, а использовать подсистему pam.
Она пользователя и аутентифицирует, и авторизует, и сделает ещё много действий (проверит, не устарел ли пароль, не нужно ли подмонтировать юзерскую папку и т.д.)

> или вообще пароль использовать не потребуется (в случае если подключение происходит к
> localhost) ?

Потребуется.
Кстати, вход без пароля с localhost - это не какая-то неведомая фича.
Как укажешь в таблице mysql.user, так и будет входить.
Просто часто из коробки оставляют доступ root без пароля с localhost.

1.2, Аноним (2), 18:38, 08/12/2011 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Все правильно делают, надо таким способом с ними бороться чтоб отдали MySQL сообществу или фонду независимому -некоммерческому!

2.4, Xasd (ok), 19:29, 08/12/2011 [^] [^^] [^^^] [ответить]

+/–

компания Percona сделала версию именно для MySQL а не для MariaDB...

...это говорит о том что бороться с Oracle им видимо совсем и не хочется :-),

...и возможно вообще для Percona -- в Oracle всё устраивает ... [иначебы более актуально былобы сделать конкурентное приемущество в случае с MariaDB, и пытаться создавать для MariaDB бОльшую популярность чем OracleMySQL]

3.7, Аноним (-), 20:52, 08/12/2011 [^] [^^] [^^^] [ответить]	+/–
> компания Percona сделала версию именно для MySQL а не для MariaDB... Это один и тот же код. Percona является партнёром в разработке MariaDB и многие её наработки включены в состав MariaDВ.

3.10, Дон Хуан (?), 03:25, 09/12/2011 [^] [^^] [^^^] [ответить]	+/–
#компания Percona сделала версию именно для MySQL а не для MariaDB... читаем новость ещё раз: Плагин совместим с СУБД MySQL-5.5.x, Percona Server 5.5.x и MariaDB 5.2.x.

1.8, Владимир (??), 22:44, 08/12/2011 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Да как бы MySQL уже менее интересна то же PostgeSQL, после того как большинство даже шаринг хостеров стали предлагать посгрыс

Добавить комментарий

Текст: