MySQL Workbench 发行说明
本地 Kerberos 连接方法使用由 kinit 命令生成的认证令牌来认证 MySQL 用户。使用此连接方法,MySQL Workbench 和 MySQL 服务器能够使用 Kerberos 认证协议来互相认证用户和 MySQL 服务。这样,用户和服务器都能够验证彼此的身份。不会通过网络发送任何密码,并且 Kerberos 协议消息受到保护,防止窃听和重放攻击。
MySQL Workbench 提供 authentication_kerberos_client 客户端插件来支持此连接方法。它与 authentication_kerberos 服务器端插件兼容,该插件必须安装并加载到承载连接的 MySQL 服务器上(参见 安装 Kerberos 可插拔认证)。
有关服务器配置设置详细信息以及 Kerberos 认证的操作概述,请参见
本地 Kerberos 连接方法的连接值包括
参数选项卡
主机名: 具有 Kerberos 主体名称作为用户名且使用 Kerberos 插件进行认证的 MySQL 服务器的主机名或 IP 地址。
端口: 服务器主机的 TCP/IP 端口号,例如 3306。
-
用户名: 与 MySQL 帐户关联的用户名。
客户端 Kerberos 认证插件将您提供的用户名(例如,
skylar)和用户帐户中指定的域(例如,MYSQL.LOCAL)组合在一起,构建用户主体名称 (UPN),例如[email protected]。客户端插件使用 UPN 和密码获取票证授予票证 (TGT),使用 TGT 获取 MySQL 服务票证 (ST),并使用 ST 向 MySQL 服务器进行认证。 -
密码: 与 MySQL 帐户关联的密码。如果您没有输入密码,MySQL Workbench 在尝试建立连接时可能会提示您输入密码。MySQL Workbench 可以将密码存储在保管库中。
注意如果使用 kinit 命令来认证 Kerberos 主体名称(在 MySQL Workbench 之外),MySQL Workbench 会在不检查(或提示)密码的情况下授权用户。即使将密码存储在保管库中,此行为也适用。
默认架构: 建立与服务器的连接后,此选项会设置成为 MySQL Workbench 其他部分中使用的默认架构。为简单起见,您可以在初始设置期间将默认架构值留空,并在需要时稍后设置默认值。
-
Kerberos 模式 在 Windows 上,选择使用 Windows SSPI Kerberos 库或通过 MIT Kerberos 库使用 GSSAPI 进行 Kerberos 认证。在 Linux 上仅允许 GSSAPI。
模式值是
GSS API 认证(MIT 本地)(默认值)– 可以使用 kinit 命令填充 MIT Kerberos 缓存。在
GSSAPI模式下,对 Windows 主机的票证搜索仅限于 MIT Kerberos 缓存。如果缓存中没有票证,即使 Windows 票证有效,连接也会失败。SSPI API 认证(Windows) – SSPI Kerberos 库与 Java SE 安全工具(klist、kinit 等)不兼容。在
SSPI模式下,认证方法仅考虑 Windows 单点登录票证。如果票证丢失或无效,即使 MIT Kerberos 缓存包含有效票证,连接也会失败。
SSL 选项卡
此连接方法的 SSL 选项与 标准 TCP/IP 相同(参见 SSL 选项卡)。
高级选项卡
此连接方法的高级选项类似于 标准 TCP/IP(参见 高级选项卡),但也包含以下选项
-
插件目录路径
可能需要替代路径来确保客户端插件和服务器端插件保持兼容。
-
Kerberos 配置路径
Linux 上的 Kerberos 配置信息的完整路径名,或者在选择了
GSS API 认证(MIT 本地)Kerberos 模式选项的 Windows 上。 -
Kerberos 凭据缓存
Linux 上的 Kerberos 凭据(票证)缓存位置,或者在选择了
GSS API 认证(MIT 本地)Kerberos 模式选项的 Windows 上的 MIT Kerberos 缓存。