MySQL 和 LDAP 協同運作以擷取使用者、憑證和群組資訊。如需簡易 LDAP 身份驗證流程的概觀，請參閱MySQL 使用者如何進行 LDAP 身份驗證。若要搭配 MySQL Shell 使用簡易 LDAP 身份驗證，必須符合下列條件

MySQL 伺服器能夠接受來自 LDAP 目錄中 MySQL 授與資料表之外定義的使用者的連線。用戶端和伺服器端 SASL LDAP 外掛程式使用 SASL 訊息在 LDAP 協定中安全傳輸憑證 (請參閱使用 LDAP 可外掛身份驗證)。

對於基於 SASL 的身份驗證，MySQL 使用者必須使用 authentication_ldap_sasl 伺服器端外掛程式以及 MySQL 帳戶驗證的 LDAP 項目 (選擇性) 來識別。例如

CREATE USER 'sammy'@'localhost' 
   IDENTIFIED WITH authentication_ldap_sasl
   BY 'uid=sammy_ldap,ou=People,dc=my-domain,dc=com';

用戶端 authentication_ldap_sasl_client 外掛程式隨附於 MySQL 伺服器套件，而非內建於 libmysqlclient 用戶端程式庫中。MySQL Shell 提供持續性連線選項 shell.options.mysqlPluginDir，讓您可以定義所需外掛程式的位置。或者，您可以藉由使用非持續性命令列選項 --mysql-plugin-dir 指定路徑來覆寫持續性設定。例如，下列命令可讓您為先前範例中建立的使用者在 Linux 主機上建立全域會話

$> mysqlsh sammy@localhost:3308 --mysql-plugin-dir="/usr/local/mysql/lib/plugin"
Please provide the password for 'sammy@localhost:3308': sammy_password (sammy_ldap LDAP password)

如需其他使用範例，請參閱具有 Proxy 的 LDAP 身份驗證和LDAP 身份驗證群組偏好和對應規格。

MySQL Shell 也支援透過 LDAP SASL 的 Kerberos 身份驗證。使用通用安全服務應用程式程式設計介面 (GSSAPI) 安全抽象介面，此類型的連線會向 Kerberos 驗證以取得服務憑證，然後使用這些憑證來啟用對其他服務的安全存取。GSSAPI/Kerberos 僅在 Linux 上受 MySQL 伺服器和 MySQL Shell 支援作為 LDAP 身份驗證方法。

GSSAPI 程式庫和 Kerberos 服務必須可供 MySQL 伺服器使用，連線才能成功。如需伺服器端設定資訊，請參閱GSSAPI/Kerberos 身份驗證方法。

下列一般範例會建立名為 lucy@MYSQL.LOCAL 的 Proxy 使用者，該使用者會承擔名為 proxied_krb_usr 的 Proxy 使用者的權限。假設領域網域 MYSQL.LOCAL 設定在 /etc/krb5.conf Kerberos 設定檔中。

CREATE USER 'lucy@MYSQL.LOCAL' 
   IDENTIFIED WITH authentication_ldap_sasl 
   BY '#krb_grp=proxied_krb_user';
CREATE USER 'proxied_krb_user';
GRANT ALL PRIVILEGES ON my_db.* TO 'proxied_krb_user';
GRANT PROXY on 'proxied_krb_user' TO 'lucy@MYSQL.LOCAL';

下列命令可讓您為先前範例中建立的使用者在 Linux 主機上建立全域會話。您必須指定伺服器的外掛程式目錄的位置，作為持續性 shell.options.mysqlPluginDir 連線選項或作為非持續性命令選項，例如

$> mysqlsh lucy%40MYSQL.LOCAL:password@localhost:3308/my_db 
--mysql-plugin-dir="/usr/local/mysql/lib/plugin"

在此範例中，百分比編碼 (%40) 會取代主體名稱中保留的 @ 字元，而 password 是為 MySQL 伺服器變數 authentication_ldap_sasl_bind_root_pwd 設定的值。如需與透過 LDAP SASL 進行 Kerberos 身份驗證相關的伺服器變數清單，請參閱設定用於 GSSAPI/Kerberos 的伺服器端 SASL LDAP 身份驗證外掛程式。

在叫用 MySQL Shell 之前，您可以獨立於 MySQL 取得並快取來自金鑰發佈中心的票證授與票證。在此情況下，請在不指定使用者名稱或密碼選項的情況下叫用 MySQL Shell

$> mysqlsh localhost:3308/my_db --auth-method=authentication_ldap_sasl_client 
--mysql-plugin-dir="/usr/local/mysql/lib/plugin"

省略使用者憑證時，指定 --auth-method=authentication_ldap_sasl_client 選項是強制性的。

MySQL Shell 能夠為使用 authentication_kerberos 伺服器端身份驗證外掛程式的帳戶建立連線，前提是必須可從 Kerberos 取得正確的 Kerberos 票證。從 MySQL 企業版 8.0.27 開始，該功能可在執行 Linux 和 Windows 的主機上使用 (版本 8.0.26 僅支援 Linux)。如需詳細的設定資訊，請參閱Kerberos 可外掛身份驗證。

Kerberos 身份驗證可以結合使用者名稱 (例如，lucy) 和使用者帳戶中指定的領域網域 (例如，MYSQL.LOCAL) 來建構使用者主體名稱 (UPN)，例如 lucy@MYSQL.LOCAL。若要建立對應於 UPN lucy@MYSQL.LOCAL 的 MySQL 帳戶，請使用此陳述式

CREATE USER 'lucy' 
   IDENTIFIED WITH authentication_kerberos 
   BY 'MYSQL.LOCAL';

用戶端外掛程式會使用 UPN 和密碼來取得票證授與票證 (TGT)，使用 TGT 來取得 MySQL 服務票證 (ST)，並使用 ST 向 MySQL 伺服器進行身份驗證。

下列命令可讓您為先前範例中建立的使用者在 Linux 主機上建立全域會話。您必須指定伺服器的外掛程式目錄的位置，作為持續性 shell.options.mysqlPluginDir 連線選項或作為非持續性命令選項，例如

$> mysqlsh lucy:3308 --mysql-plugin-dir="/usr/local/mysql/lib/plugin"
Please provide the password for 'lucy@localhost:3308': UPN_password

在呼叫 MySQL Shell 之前，您可以獨立於 MySQL 從金鑰分發中心取得並快取 TGT。在這種情況下，呼叫 MySQL Shell 時無需指定使用者名稱或密碼選項。

$> mysqlsh localhost:3308 --auth-method=authentication_kerberos_client
--mysql-plugin-dir="/usr/local/mysql/lib/plugin"

當省略使用者憑證時，必須指定 --auth-method=authentication_kerberos_client 選項。

在 Microsoft Windows 平台上，您可以使用 plugin-authentication-kerberos-client-mode 連線選項來定義 Kerberos 用戶端模式，SSPI 或 GSSAPI。此選項可使用以下格式：

您也可以在設定檔中指定 plugin-authentication-kerberos-client-mode。如果設定檔中存在此選項，則會將其用作預設值。

如果未定義 plugin-authentication-kerberos-client-mode，則預設使用 SSPI。

當使用 Kerberos 驗證連線到 MySQL 伺服器時，驗證模式具有以下行為：