MySQL8认证插件—Socket Peer-Credential Pluggable Authentication

系统管理员 2024-03-17 15:58 15阅读 0赞

服务器端auth\_socket身份验证插件通过Unix套接字文件对从本地主机连接的客户端进行身份验证。该插件使用 SO\_PEERCRED 套接字选项来获取有关运行客户端程序的用户的信息。因此，该插件只能在支持 SO\_PEERCRED 选项的系统上使用，例如Linux。

该插件的源代码可以作为一个相对简单的示例进行检查，演示如何编写可加载的身份验证插件。

插件和库名称

<table> 
 <tbody> 
  <tr> 
   <td> <p>插件或文件</p> </td> 
   <td> <p>插件或文件名称</p> </td> 
  </tr> 
  <tr> 
   <td> <p>Server-side plugin</p> </td> 
   <td> <p>auth_socket</p> </td> 
  </tr> 
  <tr> 
   <td> <p>Client-side plugin</p> </td> 
   <td> <p>None, see discussion</p> </td> 
  </tr> 
  <tr> 
   <td> <p>Library file</p> </td> 
   <td> <p>auth_socket.so</p> </td> 
  </tr> 
 </tbody> 
</table>

## 安装套接字可插入身份验证 ##

要供服务器使用，插件库文件必须位于MySQL插件目录（由 plugin\_dir 系统变量命名的目录）中。如有必要，通过在服务器启动时设置 plugin\_dir 的值来配置插件目录位置。

要在服务器启动时加载插件，请使用 --plugin-load-add 选项命名包含该插件的库文件。使用此插件加载方法，每次服务器启动时都必须给定该选项。例如，将这些行放在服务器my.cnf文件中：

[mysqld]
    plugin-load-add=auth_socket.so

修改my.cnf后，重新启动服务器以使新设置生效。

或者，要在运行时加载插件，请使用以下语句：

INSTALL PLUGIN auth_socket SONAME 'auth_socket.so';

INSTALL PLUGIN 立即加载插件，并将其注册在 mysql.plugins 系统表中，以使服务器在每次后续正常启动时加载它，而不需要 --plugin-load-add

要验证插件安装，请检查Information Schema PLUGINS表或使用SHOW PLUGINS语句。例如：

如果插件无法初始化，请查看服务器错误日志中的诊断消息。

## 卸载套接字可插入身份验证 ##

用于卸载套接字身份验证插件的方法取决于您的安装方式：

如果您在服务器启动时使用 --plugin-load-add 选项安装了插件，请在不使用该选项的情况下重新启动服务器。

如果您在运行时使用 INSTALL PLUGIN 语句安装插件，那么它将在服务器重新启动时保持安装状态。要卸载它，请使用 INSTALL PLUGIN

UNINSTALL PLUGIN auth_socket;

## 使用套接字可插拔身份验证 ##

套接字插件检查套接字用户名（操作系统用户名）是否与客户端程序指定给服务器的MySQL用户名匹配。如果名称不匹配，插件会检查套接字用户名是否与 mysql.user 系统表行的 authentication\_string 列中指定的名称匹配。如果找到匹配项，插件将允许连接。authentication\_string 值可以使用CREATE USER或ALTER USER的 IDENTIFIED ... AS 子句指定。

假设为一个名为 socker\_user1 的操作系统用户创建了一个MySQL账户，该用户将通过 auth\_socket 插件进行身份验证，以便通过套接字文件从本地主机进行连接：

CREATE USER 'socker_user1'@'localhost' IDENTIFIED WITH auth_socket;

如果本地主机上登录名为 socker\_user2 的用户使用选项 --user=socker\_user1 调用mysql通过套接字文件进行连接，则服务器将使用 auth\_socket 对客户端进行身份验证。插件确定 --user 选项值（socker\_user1）与客户端用户名（socker\_user2）不同，并拒绝连接。如果一个名为 socker\_user1 的用户尝试了同样的事情，插件会发现用户名和MySQL用户名都是 socker\_user1，并允许连接。然而，如果使用不同的协议（如TCP/IP）进行连接，即使对于 socker\_user1，插件也会拒绝连接。

为了允许 socker\_user1 和 socker\_user2 操作系统用户通过使用该账户的套接字文件连接访问MySQL，可以通过两种方式实现：

● 在创建账户时为两个用户命名，一个在CREATE USER之后，另一个在身份验证字符串中：

CREATE USER 'socker_user1'@'localhost' IDENTIFIED WITH auth_socket AS 'socker_user2';

● 如果您已经使用CREATE USER为单个用户创建账户，请使用 ALTER USER 添加第二个用户：

CREATE USER 'socker_user1'@'localhost' IDENTIFIED WITH auth_socket;
    ALTER USER 'socker_user1'@'localhost' IDENTIFIED WITH auth_socket AS 'socker_user2';

要访问该账户，socker\_user1 和 socker\_user2 在连接时都指定 --user=socker\_user1