MySQL Workbench 版本資訊
原生 Kerberos 連線方法使用 kinit 命令產生的驗證權杖來驗證 MySQL 使用者。使用此連線方法,MySQL Workbench 和 MySQL 伺服器能夠使用 Kerberos 驗證協定來相互驗證使用者和 MySQL 服務。這樣,使用者和伺服器都能夠驗證彼此的身分。不會透過網路傳送密碼,且 Kerberos 協定訊息會受到保護,免於竊聽和重播攻擊。
MySQL Workbench 提供 authentication_kerberos_client 用戶端外掛程式來支援此連線方法。它與 authentication_kerberos 伺服器端外掛程式相容,該外掛程式必須安裝並載入至託管連線的 MySQL 伺服器上(請參閱 安裝 Kerberos 可插拔驗證)。
如需伺服器組態設定詳細資訊和 Kerberos 驗證的操作概觀,請參閱
原生 Kerberos 連線方法的連線值包括
參數標籤
主機名稱: 具有以 Kerberos 主體名稱作為使用者名稱,並使用 Kerberos 外掛程式進行驗證的帳戶之 MySQL 伺服器的主機名稱或 IP 位址。
連接埠: 伺服器主機的 TCP/IP 連接埠號碼,例如 3306。
-
使用者名稱: 與 MySQL 帳戶關聯的使用者名稱。
用戶端 Kerberos 驗證外掛程式會結合您提供的使用者名稱(例如,
skylar)和使用者帳戶中指定的領域(例如,MYSQL.LOCAL),以建構使用者主體名稱 (UPN),例如skylar@MYSQL.LOCAL。用戶端外掛程式會使用 UPN 和密碼來取得授權票證 (TGT),使用 TGT 來取得 MySQL 服務票證 (ST),並使用 ST 向 MySQL 伺服器進行驗證。 -
密碼: 與 MySQL 帳戶關聯的密碼。如果您未輸入密碼,當 MySQL Workbench 嘗試建立連線時,可能會提示您輸入密碼。MySQL Workbench 可以將密碼儲存在儲存庫中。
注意如果使用 kinit 命令來驗證 Kerberos 主體名稱(在 MySQL Workbench 之外),MySQL Workbench 會授權使用者,而不會檢查(或提示)密碼。即使密碼儲存在儲存庫中,此行為也適用。
預設結構描述: 建立與伺服器的連線時,此選項會設定結構描述,該結構描述會成為 MySQL Workbench 其他部分使用的預設結構描述。為了簡化起見,您可以在初始設定期間將預設結構描述值保留空白,並在需要時稍後設定預設值。
-
Kerberos 模式 在 Windows 上,請選取使用 Windows SSPI Kerberos 程式庫或透過 MIT Kerberos 程式庫使用 GSSAPI 的 Kerberos 驗證。在 Linux 上僅允許 GSSAPI。
模式值為
GSS API 驗證 (MIT Native)(預設值)– 可以使用 kinit 命令來填入 MIT Kerberos 快取。在
GSSAPI模式中,Windows 主機上的票證搜尋僅限於 MIT Kerberos 快取。如果快取中沒有票證,即使 Windows 票證有效,連線也會失敗。SSPI API 驗證 (Windows) – SSPI Kerberos 程式庫與 Java SE 安全性工具(klist、kinit 等)不相容。在
SSPI模式中,驗證方法僅考慮 Windows 單一登入票證。如果票證遺失或無效,即使 MIT Kerberos 快取包含有效的票證,連線也會失敗。
SSL 標籤
此連線方法的 SSL 選項與 標準 TCP/IP 的選項相同(請參閱 SSL 標籤)。
進階標籤
此連線方法的進階選項與 標準 TCP/IP 的選項類似(請參閱 進階標籤),但還包括下列選項
-
外掛程式目錄的路徑
可能需要替代路徑,以確保用戶端和伺服器端外掛程式保持相容。
-
Kerberos 組態路徑
Linux 上或選取
GSS API 驗證 (MIT Native)Kerberos 模式選項的 Windows 上,Kerberos 組態資訊的完整路徑名稱。 -
Kerberos 認證快取
Linux 上 Kerberos 認證(票證)快取的位置,或選取
GSS API 驗證 (MIT Native)Kerberos 模式選項的 Windows 上 MIT Kerberos 快取的位置。