URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 81715
[ Назад ]
Исходное сообщение
"Для MySQL представлен открытый плагин для аутентификации чер..."
Отправлено opennews , 08-Дек-11 18:34 
Компания Percona представила (http://www.mysqlperformanceblog.com/2011/12/05/announcing-pa... первую версию плагина для организации аутентификации пользователей MySQL через интерфейс PAM (http://ru.wikipedia.org/wiki/Pam) (Pluggable Authentication Modules). Плагин совместим с СУБД MySQL-5.5.x, Percona Server 5.5.x и MariaDB 5.2.x. Поддерживается аутентификация с использованием различных PAM-модулей, включая pam_unix (системная база пользователей), pam_ldap (LDAP) и модуль для сервер RSA SecurID.

Код (https://launchpad.net/percona-pam-for-mysql) плагина распространяется под лицензией GPLv2. Бинарные сборки доступны (http://www.percona.com/downloads/Percona-PAM-plugin/0.1/) в виде универсального архива для систем x86_64 и в виде RPM-пакетов для дистрибутивов RHEL5/RHEL6. Аналогичную функциональность (http://kb.askmonty.org/en/pam-authentication-plugin) планируется (http://askmonty.org/blog/announcing-new-features-in-mariadb/) инт...

URL: http://www.mysqlperformanceblog.com/2011/12/05/announcing-pa.../
Новость: http://www.opennet.me/opennews/art.shtml?num=32501

Содержание
Сообщения в этом обсуждении
"Для MySQL представлен открытый плагин для аутентификации чер..."
Отправлено Xasd , 08-Дек-11 18:34 
в инструкции ( http://www.percona.com/doc/percona-pam-for-mysql/manual.html... ) написанно что нового пользователя можно создать так:

CREATE USER 'username'@'host' IDENTIFIED WITH auth_pam_server;

это всё конешно хорошо.... но не написанно:

...как этот пользовтель будет подключение к базе данных?
в качестве пароля должен будет использоваться стандартный unix-пароль?
или вообще пароль использовать не потребуется (в случае если подключение происходит к localhost) ?

"Для MySQL представлен открытый плагин для аутентификации чер..."
Отправлено aim , 08-Дек-11 19:15 
так PAM означает что будет можно хоть по ключу на флешке авторизоваться - этим как раз и занимается pam сервер
"Для MySQL представлен открытый плагин для аутентификации чер..."
Отправлено Xasd , 08-Дек-11 19:37 
тоесть -- ответ то какой? :-)

# p.s.: в документации например ясно написанно что нужны root-привелегии чтобы добраться до файла /etc/shadow ... тут понятное дело что имеется ввиду обычная ПРАКТИЧЕСКАЯ (а не флэшо-теоретическая) ситуация..... вот щаз я ипрашиваю про обычную практическую ситуацию :-)

"Для MySQL представлен открытый плагин для аутентификации чер..."
Отправлено Аноним , 08-Дек-11 20:47 
В в современном линуксе pam_unix.so для чтения /etc/shadow использует отдельный суидный бинарник и не требует рутовых прав.
"Для MySQL представлен открытый плагин для аутентификации чер..."
Отправлено Anonymouse , 08-Дек-11 23:21 
Ну ты перец! :)
>...как этот пользовтель будет подключение к базе данных?

Ежу ясно -  как PAM настроишь - так и будет.

"Для MySQL представлен открытый плагин для аутентификации чер..."
Отправлено XoRe , 09-Дек-11 17:41 
> в инструкции ( http://www.percona.com/doc/percona-pam-for-mysql/manual.html...
> ) написанно что нового пользователя можно создать так:
> CREATE USER 'username'@'host' IDENTIFIED WITH auth_pam_server;
> это всё конешно хорошо.... но не написанно:
> ...как этот пользовтель будет подключение к базе данных?

стандартно)

> в качестве пароля должен будет использоваться стандартный unix-пароль?

Если грубо - да.
А точнее, будет обращение к подсистеме pam.
PAM - Pluggable Authentication Modules, подключаемые модули аутентификации.
Это такая штука, в которой можно настроить, что спрашивать у юзера:
- пароль стандартный
- пароль одноразовый
- флешку
- отпечаток пальца
- сетчатку глаза
- образец голоса

А так же, откуда смотреть список юзеров:
- из shadow
- из txt файла
- из sql базы
- из ldap

Если вы делаете какую-то штуку с авторизацией, вы можете не изобретать свой велосипед, а использовать подсистему pam.
Она пользователя и аутентифицирует, и авторизует, и сделает ещё много действий (проверит, не устарел ли пароль, не нужно ли подмонтировать юзерскую папку и т.д.)

> или вообще пароль использовать не потребуется (в случае если подключение происходит к
> localhost) ?

Потребуется.
Кстати, вход без пароля с localhost - это не какая-то неведомая фича.
Как укажешь в таблице mysql.user, так и будет входить.
Просто часто из коробки оставляют доступ root без пароля с localhost.

"Для MySQL представлен открытый плагин для аутентификации чер..."
Отправлено Аноним , 08-Дек-11 18:38 
Все правильно делают, надо таким способом с ними бороться чтоб отдали MySQL
сообществу или фонду независимому -некоммерческому!
"Для MySQL представлен открытый плагин для аутентификации чер..."
Отправлено Xasd , 08-Дек-11 19:29 
компания Percona сделала версию именно для MySQL а не для MariaDB...

...это говорит о том что бороться с Oracle им видимо совсем и не хочется :-),

...и возможно вообще для Percona -- в Oracle всё устраивает ... [иначебы более актуально былобы сделать конкурентное приемущество в случае с MariaDB, и пытаться создавать для MariaDB бОльшую популярность чем OracleMySQL]

"Для MySQL представлен открытый плагин для аутентификации чер..."
Отправлено Аноним , 08-Дек-11 20:52 
> компания Percona сделала версию именно для MySQL а не для MariaDB...

Это один и тот же код. Percona является партнёром в разработке MariaDB и многие её наработки включены в состав MariaDВ.

"Для MySQL представлен открытый плагин для аутентификации чер..."
Отправлено Дон Хуан , 09-Дек-11 03:25 
#компания Percona сделала версию именно для MySQL а не для MariaDB...
читаем новость ещё раз:
Плагин совместим с СУБД MySQL-5.5.x, Percona Server 5.5.x и MariaDB 5.2.x.
"Для MySQL представлен открытый плагин для аутентификации чер..."
Отправлено Владимир , 08-Дек-11 22:44 
Да как бы MySQL уже менее интересна то же PostgeSQL, после того как большинство даже шаринг хостеров стали предлагать посгрыс