authentication_ldap_sasl for system variables with names of the form authentication_ldap_sasl_xxx

authentication_ldap_simple for system variables with names of the form authentication_ldap_simple_xxx

身份验证 FIDO RP ID

该变量指定了用于 FIDO 设备注册和 FIDO 身份验证的依赖方 ID。如果 FIDO 身份验证尝试并且该值不是 FIDO 设备所期望的值，则设备假设它不是与正确的服务器通信，并出现错误。最大值长度为 255 个字符。

身份验证 Kerberos 服务密钥表

服务器端密钥表（“keytab”）文件的名称，包含 Kerberos 服务密钥以身份验证来自客户端的 MySQL 服务票据。如果未设置该变量，默认值为 mysql.keytab 在数据目录中。

该文件必须存在并包含服务主体名称（SPN）或身份验证客户端将失败。（SPN 和同一个密钥也必须在 Kerberos 服务器中创建。）该文件可以包含多个服务主体名称及其相应的密钥组合。

该文件必须由 Kerberos 服务器管理员生成，并复制到 MySQL 服务器可以访问的位置。可以使用以下命令验证文件是否正确并正确复制：

klist -k file_name

有关密钥表文件的信息，请参阅 https://web.mit.edu/kerberos/krb5-latest/doc/basic/keytab_def.html。

身份验证 Kerberos 服务主体

MySQL 服务器发送给客户端的 Kerberos 服务主体名称（SPN）。

该值由服务名称（mysql）、主机名称和领域名称组成。默认值为 mysql/host_name@realm_name。领域在服务主体名称中启用了 exact 服务密钥的检索。

要使用非默认值，请使用相同的格式设置值。例如，要使用主机名称 krbauth.example.com 和领域 MYSQL.LOCAL，请将 身份验证 Kerberos 服务主体 设置为 mysql/krbauth.example.com@MYSQL.LOCAL。

服务主体名称和服务密钥必须已经存在于 KDC 服务器管理的数据库中。

可以有服务主体名称仅通过领域名称不同。

身份验证 LDAP SASL 认证方法名称

对于 SASL LDAP 认证，认证方法名称。根据这个认证方法，认证插件与 LDAP 服务器之间的通信以确保密码安全。

允许的认证方法值有：

LDAP SASL 绑定基本 DN

对于 SASL LDAP 认证，基本 DN（distinguished name）。该变量可以用来限制搜索范围，通过将其锚定在搜索树中的某个位置（“base”）。

假设某些 LDAP 用户条目具有以下形式：

uid=user_name,ou=People,dc=example,dc=com

而其他 LDAP 用户条目具有以下形式：

uid=user_name,ou=Admin,dc=example,dc=com

那么对于不同的基本 DN 值，搜索将按以下方式工作：

一般来说，更具体的基本 DN 值将导致搜索速度更快，因为它们限制了搜索范围。

LDAP SASL 绑定根 DN

对于 SASL LDAP 认证，根 DN（distinguished name）。该变量与 authentication_ldap_sasl_bind_root_pwd 一起使用，作为 LDAP 服务器的认证凭证，以便执行搜索。认证使用一个或两个 LDAP 绑定操作，具体取决于 MySQL 帐户名称是否指定 LDAP 用户 DN：

authentication_ldap_sasl_bind_root_pwd

对于SASL LDAP身份验证，根DN的密码。此变量与authentication_ldap_sasl_bind_root_dn一起使用。请参阅该变量的描述。

authentication_ldap_sasl_ca_path

对于SASL LDAP身份验证，证书颁发机构文件的绝对路径。指定此文件，以便身份验证插件执行LDAP服务器证书的验证。

authentication_ldap_sasl_connect_timeout

指定MySQL服务器等待连接到LDAP服务器的时间（以秒为单位）.

当MySQL账户使用LDAP身份验证时，MySQL服务器尝试建立与LDAP服务器的TCP连接，以便发送LDAP绑定请求。 如果LDAP服务器在配置的时间内没有响应TCP握手，MySQL服务器将放弃TCP握手尝试并发出错误消息。如果超时设置为零，MySQL服务器将忽略该系统变量设置。有关更多信息，请参阅Setting Timeouts for LDAP Pluggable Authentication.

LDAP SASL 组搜索属性

对于 SASL LDAP 身份验证，指定 LDAP 目录条目中组名称的属性名称。如果 LDAP SASL 组搜索属性 的默认值为 cn，则搜索将返回 cn 值作为组名称。例如，如果 LDAP 条目具有 uid 值 user1，并且具有 cn 属性 mygroup，则搜索 user1 将返回 mygroup 作为组名称。

如果您不想进行组或代理身份验证，请将此变量设置为空字符串。

如果组搜索属性为 isMemberOf，LDAP 身份验证将直接检索用户属性 isMemberOf 值并将其分配为组信息。如果组搜索属性不是 isMemberOf，LDAP 身份验证将搜索所有组，其中用户是成员。（后者是默认行为。）这基于 LDAP 组信息可以以两种方式存储：1）组条目可以具有名为 memberUid 或 member 的属性，值为用户名；2）用户条目可以具有名为 isMemberOf 的属性，值为组名称。

LDAP SASL 组搜索过滤器

对于 SASL LDAP 身份验证，自定义组搜索过滤器。

搜索过滤器值可以包含 {UA} 和 {UD} 表示用户名和完整用户 DN。例如，{UA} 将被替换为用户名，例如 "admin"，而 {UD} 将被替换为完整用户 DN，例如 "uid=admin,ou=People,dc=example,dc=com"。以下是默认值，支持 OpenLDAP 和 Active Directory：

(|(&(objectClass=posixGroup)(memberUid={UA}))
  (&(objectClass=group)(member={UD})))

在某些用户场景中，memberOf 是一个简单的用户属性，不包含组信息。为提供更多灵活性，组搜索属性可以使用可选的 {GA} 前缀。任何带有 {GA} 前缀的组属性都将被视为用户属性，具有组名称。例如，使用值 {GA}MemberOf，如果组值是 DN，则从组 DN 中返回第一个属性值作为组名称。

LDAP SASL 初始化池大小

对于 SASL LDAP 身份验证，LDAP 服务器的初始连接池大小。根据 LDAP 服务器的平均并发身份验证请求数选择此变量的值。

插件使用 LDAP SASL 初始化池大小 和 LDAP SASL 最大池大小 共同管理连接池：

插件系统变量设置的更改可能对池中的连接没有影响。例如，修改 LDAP 服务器主机、端口或 TLS 设置不会影响现有连接。但是，如果原始变量值无效且连接池无法初始化，插件将尝试使用新系统变量值重新初始化池。

如果 authentication_ldap_sasl_max_pool_size=0 禁用池，每个 LDAP 连接由插件打开时使用当前系统变量值。

authentication_ldap_sasl_log_status

对于 SASL LDAP 身份验证，错误日志中的日志级别。下表显示了允许的级别值及其含义。

在客户端，消息可以通过设置 AUTHENTICATION_LDAP_CLIENT_LOG 环境变量记录到标准输出。允许和默认值与 authentication_ldap_sasl_log_status 相同。

环境变量 AUTHENTICATION_LDAP_CLIENT_LOG 只适用于 SASL LDAP 身份验证，对于简单 LDAP 身份验证无效，因为客户端插件在那种情况下是 mysql_clear_password，它不知道 LDAP 操作。

authentication_ldap_sasl_max_pool_size

对于 SASL LDAP 身份验证，LDAP 服务器的最大连接池大小。要禁用连接池，请将此变量设置为 0。

此变量与 authentication_ldap_sasl_init_pool_size 一起使用。请参阅该变量的描述。

authentication_ldap_sasl_referral

对于SASL LDAP身份验证，是否启用LDAP搜索引用。请参阅LDAP搜索引用。

此变量可以设置以覆盖默认的OpenLDAP引用配置；请参阅LDAP可插拔身份验证和ldap.conf

身份验证_ldap_sasl_response_timeout

指定MySQL服务器等待LDAP服务器响应LDAP绑定请求的时间（以秒为单位）。

当MySQL帐户使用LDAP身份验证时，MySQL服务器将发送LDAP绑定请求到LDAP服务器。如果LDAP服务器在配置的时间内没有响应请求，MySQL服务器将放弃请求并发出错误消息。如果超时设置为零，MySQL服务器将忽略该系统变量设置。有关更多信息，请参阅设置LDAP可插拔身份验证超时。

身份验证_ldap_sasl_server_host

对于SASL LDAP身份验证，LDAP服务器主机。该变量的允许值取决于身份验证方法：

身份验证_ldap_sasl_server_port

对于SASL LDAP身份验证，LDAP服务器的TCP/IP端口号。

如果LDAP端口号配置为636或3269，插件将使用LDAPS（LDAP over SSL）而不是LDAP。（LDAPS不同于startTLS。）

身份验证_ldap_sasl_tls

对于SASL LDAP身份验证，插件是否连接到LDAP服务器的连接是否安全。如果启用了这个变量，插件将使用TLS安全连接到LDAP服务器。此变量可以用来覆盖OpenLDAP TLS配置的默认值；见LDAP可插拔身份验证和ldap.conf如果您启用了这个变量，也可能需要设置authentication_ldap_sasl_ca_path变量。

MySQL LDAP插件支持StartTLS方法，该方法在普通LDAP连接上初始化TLS。

可以通过设置authentication_ldap_sasl_server_port系统变量来使用LDAPS。

authentication_ldap_sasl_user_search_attr

对于SASL LDAP身份验证，LDAP目录条目中指定用户名的属性名称。如果未提供用户的区分名称，身份验证插件将使用该属性搜索用户名。例如，如果authentication_ldap_sasl_user_search_attr值为uid，那么搜索用户名user1将找到uid值为user1的条目。

authentication_ldap_simple_auth_method_name

对于简单LDAP身份验证，身份验证方法名称。身份验证插件和LDAP服务器之间的通信根据该身份验证方法进行。

允许的身份验证方法值有：

authentication_ldap_simple_bind_base_dn

对于简单LDAP身份验证，基础区分名称（DN）。该变量可以用来限制搜索的范围，通过将其锚定在搜索树中的某个位置（“基础”）。

假设一组LDAP用户条目具有以下形式：

uid=user_name,ou=People,dc=example,dc=com

假设另一组LDAP用户条目具有以下形式：

uid=user_name,ou=Admin,dc=example,dc=com

那么，对于不同的基础DN值，搜索将按以下方式工作：

一般来说，更具体的基本DN值会导致搜索速度更快，因为它们限制了搜索范围。

身份验证_ldap_simple_bind_root_dn

对于简单LDAP身份验证，根区分名称（DN）。此变量与 身份验证_ldap_simple_bind_root_pwd 一起使用，以便对LDAP服务器进行身份验证，以便执行搜索。身份验证使用一个或两个LDAP绑定操作，具体取决于MySQL帐户是否命名LDAP用户DN：

身份验证_ldap_simple_bind_root_pwd

对于简单LDAP身份验证，根区分名称的密码。此变量与 身份验证_ldap_simple_bind_root_dn 一起使用。请参阅该变量的描述。

身份验证_ldap_simple_ca_path

对于简单LDAP身份验证，证书颁发机构文件的绝对路径。指定此文件，以便身份验证插件验证LDAP服务器证书。

身份验证_ldap_simple_connect_timeout

指定 MySQL 服务器等待连接到 LDAP 服务器的时间（以秒为单位）.

当 MySQL 帐户使用 LDAP 进行身份验证时，MySQL 服务器尝试使用 TCP 连接到 LDAP 服务器，以便发送 LDAP 绑定请求。 如果 LDAP 服务器在配置的时间内没有响应 TCP 握手，MySQL 服务器将放弃 TCP 握手尝试并发出错误消息。 如果超时设置为零，MySQL 服务器将忽略该系统变量设置。 有关更多信息，请参阅 设置 LDAP 可插拔身份验证超时.

身份验证ldap简单组搜索属性

对于简单 LDAP 身份验证，指定组名称的属性名称在 LDAP 目录条目中。 如果 身份验证ldap简单组搜索属性 的默认值为 cn，搜索将返回 cn 值作为组名称。 例如，如果 LDAP 条目具有 uid 值为 user1 的 cn 属性为 mygroup，搜索 user1 将返回 mygroup 作为组名称。

如果组搜索属性为 isMemberOf，LDAP 身份验证将直接检索用户属性 isMemberOf 值并将其分配为组信息。 如果组搜索属性不是 isMemberOf，LDAP 身份验证将搜索所有组，其中用户是成员。 (后者是默认行为。) 这种行为基于 LDAP 组信息可以以两种方式存储：1) 组条目可以具有名为 memberUid 或 member 的属性，值为用户名；2) 用户条目可以具有名为 isMemberOf 的属性，值为组名称。

身份验证ldap简单组搜索过滤器

对于简单 LDAP 身份验证，自定义组搜索过滤器。

搜索过滤器值可以包含 {UA} 和 {UD} 表示用户名和完整用户 DN。 例如，{UA} 将被替换为用户名，例如 "admin"，而 {UD} 将被替换为完整用户 DN，例如 "uid=admin,ou=People,dc=example,dc=com"。 默认值如下，支持 OpenLDAP 和 Active Directory：

(|(&(objectClass=posixGroup)(memberUid={UA}))
  (&(objectClass=group)(member={UD})))

在某些用户场景中，memberOf 是一个简单的用户属性，不包含组信息。 为了提供更多灵活性，可以使用可选的 {GA} 前缀与组搜索属性。 任何带有 {GA} 前缀的组属性都将被视为用户属性，具有组名称。 例如，使用值 {GA}MemberOf，如果组值是 DN，则从组 DN 中返回第一个属性值作为组名称。

LDAP简单身份验证初始池大小

对于简单LDAP身份验证，初始池大小的LDAP服务器连接数。根据LDAP服务器的平均并发身份验证请求次数选择该变量的值。

插件使用 LDAP简单身份验证初始池大小 和 LDAP简单身份验证最大池大小 共同管理连接池：

插件系统变量设置的更改可能不会影响池中的现有连接。例如，修改LDAP服务器主机、端口或TLS设置不会影响现有连接。但是，如果原始变量值无效且连接池无法初始化，插件将尝试使用新系统变量值重新初始化池。

如果 LDAP简单身份验证最大池大小=0 禁用池，每个LDAP连接由插件打开时使用当前系统变量值。

LDAP简单身份验证日志状态

对于简单LDAP身份验证，错误日志中的日志级别。下表显示了允许的级别值及其含义。

LDAP简单身份验证最大池大小

对于简单LDAP身份验证，连接到LDAP服务器的池连接的最大大小。要禁用连接池，请将此变量设置为0。

此变量与authentication_ldap_simple_init_pool_size一起使用。请参阅该变量的描述。

authentication_ldap_simple_referral

对于简单LDAP身份验证，是否启用LDAP搜索引用。请参阅LDAP搜索引用。

authentication_ldap_simple_response_timeout

指定MySQL服务器等待LDAP服务器响应LDAP绑定请求的时间（以秒为单位）。

当MySQL帐户使用LDAP身份验证时，MySQL服务器将LDAP绑定请求发送到LDAP服务器。如果LDAP服务器在配置的时间内没有响应请求，MySQL将放弃请求并发出错误消息。如果超时设置为零，MySQL服务器将忽略该系统变量设置。有关更多信息，请参阅设置LDAP可插拔身份验证超时。

authentication_ldap_simple_server_host

对于简单LDAP身份验证，LDAP服务器主机。该变量的允许值取决于身份验证方法：

authentication_ldap_simple_server_port

对于简单 LDAP 身份验证，LDAP 服务器的 TCP/IP 端口号。

如果 LDAP 端口号配置为 636 或 3269，插件将使用 LDAPS（LDAP over SSL）而不是 LDAP。（LDAPS 与 startTLS 不同。）

authentication_ldap_simple_tls

对于简单 LDAP 身份验证，插件是否使用 TLS 连接到 LDAP 服务器。如果启用此变量，插件将使用 TLS 连接到 LDAP 服务器。此变量可以覆盖默认的 OpenLDAP TLS 配置；请参阅 LDAP 可插拔身份验证和 ldap.conf 如果您启用此变量，也可能需要设置 authentication_ldap_simple_ca_path 变量。

MySQL LDAP 插件支持 StartTLS 方法，该方法在普通 LDAP 连接上初始化 TLS。

LDAPS 可以通过设置 authentication_ldap_simple_server_port 系统变量来使用。

authentication_ldap_simple_user_search_attr

对于简单 LDAP 身份验证，指定用户名在 LDAP 目录条目中的属性名称。如果未提供用户的区分名称，身份验证插件将使用该属性搜索用户名。例如，如果 authentication_ldap_simple_user_search_attr 值为 uid，则搜索用户名 user1 将找到 uid 值为 user1 的条目。

authentication_webauthn_rp_id

此变量指定了用于服务器端插件安装、设备注册和 WebAuthn 身份验证的依赖方 ID。如果尝试 WebAuthn 身份验证且此值不是设备所期望的值，设备将假设它不是与正确的服务器通信，并出现错误。最大值长度为 255 个字符。