本节描述了如何安装服务器端 Windows 身份验证插件。有关插件安装的一般信息，请参阅 第 7.6.1 节，“安装和卸载插件”。

要使插件可供服务器使用，插件库文件必须位于 MySQL 插件目录中（由 plugin_dir 系统变量命名的目录）。如果必要，通过设置 plugin_dir 的值在服务器启动时配置插件目录的位置。

要在服务器启动时加载插件，请使用 --plugin-load-add 选项指定包含插件的库文件名。使用这种插件加载方法，每次服务器启动时都需要指定该选项。例如，在服务器 my.cnf 文件中添加以下行：

[mysqld]
plugin-load-add=authentication_windows.dll

修改 my.cnf 文件后，重新启动服务器以使新设置生效。

或者，要在运行时加载插件，请使用以下语句：

INSTALL PLUGIN authentication_windows SONAME 'authentication_windows.dll';

INSTALL PLUGIN 立即加载插件，并在 mysql.plugins 系统表中注册它，以便服务器在每次正常启动时加载它，而不需要 --plugin-load-add 选项。

要验证插件安装，请检查 Information Schema PLUGINS 表或使用 SHOW PLUGINS 语句（见 第 7.6.2 节，“获取服务器插件信息”）。例如：

mysql> SELECT PLUGIN_NAME, PLUGIN_STATUS
       FROM INFORMATION_SCHEMA.PLUGINS
       WHERE PLUGIN_NAME LIKE '%windows%';
+------------------------+---------------+
| PLUGIN_NAME            | PLUGIN_STATUS |
+------------------------+---------------+
| authentication_windows | ACTIVE        |
+------------------------+---------------+

如果插件无法初始化，请检查服务器错误日志以获取诊断信息。

要将 MySQL 帐户与 Windows 认证插件关联，请参阅 使用 Windows 可插拔认证。此外，还提供了 authentication_windows_use_principal_name 和 authentication_windows_log_level 系统变量的控制。见 第 7.1.8 节，“服务器系统变量”。

卸载 Windows 认证插件的方法取决于您安装它的方式：

此外，还需要删除任何设置 Windows 插件相关系统变量的启动选项。

Windows 认证插件支持使用 MySQL 帐户，使得已经登录 Windows 的用户可以连接到 MySQL 服务器，而不需要指定额外的密码。假设服务器已经启用了服务器端插件，如 安装 Windows 可插拔认证 中所述。然后，DBA 启用了服务器端插件并设置了帐户以使用它，客户端可以使用这些帐户连接到服务器，而不需要在他们的部分进行其他设置。

要在 IDENTIFIED WITH 子句中引用 Windows 认证插件，请使用名称 authentication_windows。假设 Windows 用户 Rafal 和 Tasha 应该被允许连接到 MySQL，以及 Administrators 或 Power Users 组中的任何用户。要设置它，请创建一个名为 sql_admin 的 MySQL 帐户，该帐户使用 Windows 插件进行认证：

CREATE USER sql_admin
  IDENTIFIED WITH authentication_windows
  AS 'Rafal, Tasha, Administrators, "Power Users"';

插件名称是 authentication_windows。字符串后面的 AS 关键字是身份验证字符串。它指定了 Windows 用户名为 Rafal 或 Tasha 可以作为 MySQL 用户 sql_admin 认证到服务器，或者是 Administrators 或 Power Users 组的任何 Windows 用户。后者组名包含空格，因此必须用双引号括起来。

创建 sql_admin 帐户后，已登录 Windows 的用户可以尝试使用该帐户连接到服务器：

C:\> mysql --user=sql_admin

这里不需要密码。authentication_windows 插件使用 Windows 安全 API 来检查哪个 Windows 用户正在连接。如果该用户是名为 Rafal 或 Tasha，或者是 Administrators 或 Power Users 组的成员，则服务器授予访问权限，并将客户端认证为 sql_admin，并拥有该帐户的所有权限。否则，服务器将拒绝访问。

Windows 身份验证插件的身份验证字符串语法遵循以下规则：

当服务器调用插件来认证客户端时，插件将从左到右扫描身份验证字符串，以查找与 Windows 用户的匹配。如果找到匹配项，插件将相应的 mysql_user_name 返回给 MySQL 服务器。如果没有匹配项，认证将失败。

用户名匹配优先于组名匹配。假设 Windows 用户名为 win_user 是 win_group 的成员，并且身份验证字符串如下所示：

'win_group = sql_user1, win_user = sql_user2'

当 win_user 连接到 MySQL 服务器时，有两个匹配项：win_group 和 win_user。插件将用户认证为 sql_user2，因为更具体的用户匹配优先于组匹配，即使组名在身份验证字符串中列出。

Windows 身份验证总是适用于来自同一台计算机的连接。对于跨计算机连接，两台计算机都必须注册到 Microsoft Active Directory。如果它们在同一个 Windows 域中，不需要指定域名。也可以允许来自不同域的连接，例如：

CREATE USER sql_accounting
  IDENTIFIED WITH authentication_windows
  AS 'SomeDomain\\Accounting';

这里 SomeDomain 是另一个域的名称。反斜杠字符被加倍，因为它是 MySQL 字符串中的转义字符。

MySQL 支持代理用户的概念，即客户端可以使用一个帐户连接和认证到 MySQL 服务器，但在连接时拥有另一个帐户的权限（见 第 8.2.19 节，“代理用户”）。假设您想让 Windows 用户使用单个用户名连接，但根据他们的 Windows 用户和组名映射到特定的 MySQL 帐户：

要设置此项，请创建一个代理账户供 Windows 用户连接到，并配置该账户，使用户和组映射到适当的 MySQL 账户（local_wlad、local_dev、local_admin）。此外，授予 MySQL 账户执行所需操作的适当权限。以下说明使用 win_proxy 作为代理账户，local_wlad、local_dev 和 local_admin 作为被代理的账户。

现在，Windows 用户 local_user 和 MyDomain\domain_user 可以以 win_proxy 连接到 MySQL 服务器，并在身份验证时拥有授予的账户权限（在本例中为 local_wlad）。MyDomain\Developers 组中的用户连接为 win_proxy，拥有 local_dev 账户的权限。BUILTIN\Administrators 组中的用户拥有 local_admin 账户的权限。

要配置身份验证，使所有没有自己的 MySQL 账户的 Windows 用户通过代理账户，请将默认代理账户（''@''）替换为 win_proxy 在前面的说明中。有关默认代理账户的信息，请参阅 第 8.2.19 节，“代理用户”。

要使用 Windows 身份验证插件与 Connector/NET 连接字符串在 Connector/NET 8.3 及更高版本中，请参阅 Connector/NET 身份验证。