使用 MySQL 的 Kerberos 插件式认证，需要满足以下前提条件：

本节提供了 MySQL 和 Kerberos 之间的认证机制概述。关于如何设置 MySQL 账户以使用 Kerberos 认证插件，请参阅使用 Kerberos 插件式认证。

在这里假设您已经熟悉 Kerberos 概念和操作。以下是几个常见 Kerberos 术语的简要定义。你可能还会找到RFC 4120 的词汇表有帮助。

使用Kerberos身份验证需要密钥分配中心服务器，例如由Microsoft Active Directory提供的服务器。

MySQL 使用 Generic Security Service Application Program Interface（GSSAPI）进行 Kerberos 认证，GSSAPI 是一种安全抽象接口。Kerberos 是一种特定的安全协议实例，可以通过该抽象接口使用。使用 GSSAPI，应用程序可以将用户身份验证到 Kerberos，以获取服务凭证，然后使用这些凭证来启用对其他服务的安全访问。

在 Windows 上，authentication_kerberos_client 认证插件支持两个模式，客户端用户可以在运行时或在选项文件中设置：

使用 Kerberos 认证插件，应用程序和 MySQL 服务器可以使用 Kerberos 认证协议来相互验证用户和 MySQL 服务。这样，用户和服务器都可以验证对方的身份。网络上不发送密码，并且 Kerberos 协议消息受到监听和重播攻击的保护。

Kerberos认证遵循以下步骤，其中服务器端和客户端部分使用authentication_kerberos和authentication_kerberos_client身份验证插件，分别进行：

应用程序可以使用提供的用户名和密码或本地缓存的TGT或ST（例如，使用kinit或类似工具创建）进行身份验证。这一设计因此涵盖了从完全无用户和密码连接到连接中同时提供用户名和密码并从KDC获取有效的Kerberos服务票据以发送给MySQL服务器的所有用例。

如前面的描述所示，MySQL Kerberos身份验证使用两种类型的密钥表文件：

关于密钥表文件的信息，请参阅https://web.mit.edu/kerberos/krb5-latest/doc/basic/keytab_def.html。

本节描述了如何安装服务器端Kerberos身份验证插件。关于安装插件的总体信息，请见第7.6.1节，“Installing and Uninstalling Plugins”。

要使插件可供服务器使用，插件库文件必须位于MySQL插件目录（由plugin_系统变量指定的目录）中。如果必要，可以在服务器启动时配置插件目录位置，设置plugin_的值。

服务器端插件库文件的基本名称是authentication_kerberos。Unix和Unix-like系统上的文件名后缀为.so。

要在服务器启动时加载插件，请使用--plugin-load-Add选项指定包含插件的库文件。使用此插件加载方法，每次启动服务器都需要给出该选项。此外，还需要指定任何插件提供的系统变量的值，以便配置插件的操作：

有关所有 Kerberos 身份验证系统变量的详细信息，请参见第8.4.1.13节，“可插拔身份验证系统变量”。

要加载插件并配置它，请将类似于这些行添加到您的 my.cnf 文件中，使用适合您的安装的系统变量值：

[mysqld]
plugin-load-add=authentication_kerberos.so
authentication_kerberos_service_principal=mysql/krbauth.example.com@MYSQL.LOCAL
authentication_kerberos_service_key_tab=/var/mysql/data/mysql.keytab

修改完毕 my.cnf 后，重新启动服务器以使新的设置生效。

或者，在运行时加载插件，请使用以下语句：

INSTALL PLUGIN authentication_kerberos
  SONAME 'authentication_kerberos.so';

INSTALL PLUGIN 将插件立即加载，并将其注册到 mysql.plugins 系统表中，以便在每个正常启动时不需要使用--plugin-load-add。

在运行时安装插件而未在 my.cnf 文件中配置其系统变量时，系统变量authentication_kerberos_service_key_tab 将被设置为数据目录中的默认值 mysql.keytab。这类系统变量不能在运行时更改，因此如果您需要指定不同的文件，您需要将设置添加到您的 my.cnf 文件中，然后重新启动 MySQL 服务器。例如：

[mysqld]
authentication_kerberos_service_key_tab=/var/mysql/data/mysql.keytab

如果密钥表文件不在正确的位置或不包含有效的 SPN 密钥，MySQL 服务器不会验证此问题，但直到您解决该问题，客户端将返回身份验证错误。

系统变量authentication_kerberos_service_principal 可以在运行时设置和持久化，而无需重新启动服务器，使用SET PERSIST 语句：

SET PERSIST authentication_kerberos_service_principal='mysql/krbauth.example.com@MYSQL.LOCAL';

SET PERSIST将设置当前 MySQL 实例的值，并将其保存，以便在后续服务器重启时保持。要更改当前 MySQL 实例的值，但不使其在后续重启时生效，请使用GLOBAL关键字，而不是PERSIST。请参阅第15.7.6.1节，“SET 语法变量分配”。

要验证插件安装，请检查信息架构中的PLUGINS表或使用SHOW PLUGINS语句（请参阅第7.6.2节，“获取服务器插件信息”）。例如：

mysql> SELECT PLUGIN_NAME, PLUGIN_STATUS
       FROM INFORMATION_SCHEMA.PLUGINS
       WHERE PLUGIN_NAME = 'authentication_kerberos';
+-------------------------+---------------+
| PLUGIN_NAME             | PLUGIN_STATUS |
+-------------------------+---------------+
| authentication_kerberos | ACTIVE        |
+-------------------------+---------------+

如果插件无法初始化，请检查服务器错误日志以获取诊断消息。

要将 MySQL 账户与 Kerberos 插件关联，请参阅使用 Kerberos 插件式认证。

本节描述了如何使 MySQL 账户使用 Kerberos 可插拔身份验证连接到 MySQL 服务器。假设服务器已经启用了 server-端插件，详见安装 Kerberos 可插拔身份验证，并且客户端主机上已经安装了客户端插件。

Verify Kerberos Availability

以下示例展示了如何测试 Active Directory 中 Kerberos 的可用性。该示例假设：

假设条件满足，遵循以下步骤：

Create a MySQL Account That Uses Kerberos Authentication

使用authentication_kerberos身份验证插件的MySQL身份验证基于Kerberos用户主体名称（UPN）。这里的指令假设MySQL用户名为karl，使用Kerberos身份验证到MySQL服务器，Kerberosrealm名为MYSQL.LOCAL，用户主体名称为karl@MYSQL.LOCAL。这个UPN必须在多个地方注册：

假设Kerberos用户主体名称已经由适当的服务管理员注册，并且，正如在安装Kerberos可插拔身份验证中之前描述的那样，MySQL服务器已经以适当的配置设置启动了server-side Kerberos插件。要创建一个对应于Kerberos UPN user@realm_name 的MySQL账户，MySQL DBA 使用以下语句：

CREATE USER user
  IDENTIFIED WITH authentication_kerberos
  BY 'realm_name';

名为user的账户可以包括或排除主机名称部分。如果主机名称被排除，它将默认为%。realm_name 将被存储在mysql.user系统表中的authentication_string值中。

要创建一个对应于UPN karl@MYSQL.LOCAL 的MySQL账户，使用以下语句：

CREATE USER 'karl'
  IDENTIFIED WITH authentication_kerberos
  BY 'MYSQL.LOCAL';

如果MySQL需要为该帐户构建UPN，以便获取或验证票证（TGTs或STs），它将通过组合帐户名称（忽略任何主机名称部分）和realm名称来实现。例如，前面的CREATE USER语句生成的完整帐户名称为'karl'@'%'。MySQL从用户名称部分karl(忽略主机名称部分)和realm名称MYSQL.LOCAL中构建UPN，生成karl@MYSQL.LOCAL。

设置帐户后，客户端可以使用它连接到MySQL服务器。该过程取决于客户端主机是否运行Linux或Windows，如下讨论所示。

使用authentication_kerberos受限于不能支持具有相同用户部分但不同的realm部分的UPNs。例如，您无法创建MySQL账户对应这两个UPNs：

kate@MYSQL.LOCAL
kate@EXAMPLE.COM

这两个UPNs都有一个用户部分为kate，但在realm部分中不同（MYSQL.LOCAL versus EXAMPLE.COM）。这是被禁止的。

Use the MySQL Account to Connect to the MySQL Server

设置了使用Kerberos身份验证的MySQL账户后，客户端可以按照以下方式连接到MySQL服务器：

第一个步骤（在Kerberos中进行身份验证）可以通过以下方式进行：

连接到 MySQL 服务器的客户端命令的详细信息因 Linux 和 Windows 而异，因此每个主机类型将单独讨论，但这些命令属性无论主机类型都适用：

Linux客户端连接命令

在 Linux 上，连接到 MySQL 服务器的适当客户端命令取决于命令是否使用 Kerberos 缓存中的 TGT 进行身份验证，还是基于 MySQL 用户名和 UPN 密码的命令选项：

如果您不确定是否存在TGT，可以使用klist命令来检查。

Windows客户端SSPI模式下的连接命令

在 Windows 上，使用默认的客户端插件选项（SSPI），连接到 MySQL 服务器的适当客户端命令取决于命令是否基于 MySQL 用户名和 UPN 密码的命令选项，还是使用来自 Windows 内存缓存的 TGT。关于 Windows 中 GSSAPI 模式的详细信息，请见GSSAPI 模式下的 Windows 客户端命令。

命令可以明确指定 MySQL 用户名和 UPN 密码的选项，或者省略这些选项：

Windows客户端在GSSAPI模式下的连接命令

在Windows上，客户端用户必须使用GSSAPI模式明确指定，以启用通过MIT Kerberos库的支持。默认模式是SSPI(见SSPI模式下的Windows客户端命令).

可以指定GSSAPI模式：

在运行 Windows 的主机上，票据总是从或放入 MIT Kerberos 缓存中。

Client Configuration Parameters for Kerberos Authentication

本节仅适用于运行 Linux 的客户机，不适用于运行 Windows 的客户机。

如果在 MySQL 客户端应用程序启动时没有有效的票证授予票（TGT），应用程序可能会自己获取和缓存 TGT。如果在 Kerberos 认证过程中客户端应用程序导致 TGT 被缓存，那么可以通过设置相应的配置参数来销毁该 TGT。

客户端 Kerberos 插件读取本地 /etc/krb5.conf 文件。如果该文件不存在或不可访问，会出现错误。假设该文件可访问，它可以包含一个可选的 [appdefaults] 部分，以提供插件使用的信息。在该部分中，可以将信息置于 mysql 部分内，例如：

[appdefaults]
  mysql = {
    destroy_tickets = true
  }

客户端插件在 mysql 部分中识别这些参数：

在客户主机上，可以使用客户密钥表文件来获取TGT和TS，而不需要提供密码。关于密钥表文件的信息，请见https://web.mit.edu/kerberos/krb5-latest/doc/basic/keytab_def.html。

环境变量AUTHENTICATION_KERBEROS_CLIENT_LOG启用或禁用Kerberos身份验证的调试输出。

在服务器端，允许的值是0（off）和1（on）。日志消息将写入到服务器错误日志中，subject to the server error-logging verbosity level。例如，如果您使用优先级日志过滤，您可以使用log_error_verbosity系统变量控制 verbosity，详见第7.4.2.5节，“Priority-Based Error Log Filtering (log_filter_internal)”。

在客户端-side，允许的值范围从1到5，并将其写入标准错误输出。以下表格显示了每个日志级别值的含义。