MySQL 5.5: RC mit alternativer Authentifizierung

Sechs Wochen nach dem ersten Release-Kandidaten von MySQL 5.5 veröffentlichte Oracle unter der Versionsnummer 5.5.7 einen zweiten. Er enthält erstmals eine Technik zum Anbinden alternativer Authentifizierungsmethoden. Bislang setzte MySQL ausschließlich auf eine interne Benutzerverwaltung, weshalb sich weder üblichen Unix-Mechanismen wie PAM noch zentrale Verzeichnisdienste wie LDAP für die Anmeldung nutzen ließen.

Die Release-Notes von MySQL 5.5.7 nennen denn auch als Beispiele für externe Authentifizierungsverfahren Kerberos, Windows-Log-in-Kennungen, PAM und LDAP. Außerdem gibt es "Proxy User": Ein MySQL-Anwender, der nur für die Anmeldung per Plug-in existiert und mit dem neuen GRANT PROXY einem anderen User zugeordnet wird. Das lässt sich laut Dokumentation dazu verwenden, Benutzernamen und Passwörter zur Authentifizierung an einen anderen Dienst weiterzureichen, dem dem MySQL-Server dann den Namen eines Datenbankbenutzers zurückliefert. So könnte man beispielsweise Benutzergruppen wie "Entwickler" definieren. Details zur Architektur und Implementierung der Technik finden sich online.

Mitgeliefert werden zwei Plug-ins. Beide verwenden wie bisher die Benutzerverwaltung ausschließlich innerhalb von MySQL, eins mit den bis Version 4.1.1 üblichen kurzen Passwörtern, das andere mit den aktuellen, längeren. Die Neuerung hat allerdings Nebenwirkungen: Wer mit dem Server ab 5.5.7 arbeiten will, muss auch Clients mit mindestens dieser Version verwenden, denn ältere können sich wegen der Authentifizierungs-Plug-ins nicht mehr mit dem neuen Server verbinden. Bei einem Umstieg von einer älteren Version (auch aus der 5.5er-Reihe) müssen die internen Tabellen mit mysql_upgrade aktualisiert werden.

Die kürzlich veröffentlichte Version 5.2 des MySQL-Forks MariaDB enthält ebenfalls Plug-ins für externe Authentifizierungsverfahren. Eins davon erlaubt es angemeldeten Unix-Anwendern, ohne erneute Angabe von Benutzernamen und Passwort mit der Datenbank zu arbeiten. (ck)