Die MySQL-GSSAPI-Authentifizierung schlägt mit der Fehlermeldung „Zugriff verweigert“ fehl ⇐ MySql

[Guest]

Alle verschleierten Teile sind in [Klammern] angegeben.
Ich habe MySQL auf Rocky Linux v9.5 mit MySQL Enterprise v9.1.0-1.1el9 eingerichtet.Mit einer Testversion von MySQL Enterprise Edition versuche ich, das GSSAPI-Plugin einzurichten und daran zu arbeiten, Konten anhand unserer Active Directory-Domäne zu authentifizieren. Ich erhalte die Meldung „Zugriff für Benutzer verweigert“.

Code: Select all

[user]

'@'

Code: Select all

[client host name]

' (mit Passwort: NEIN)"
Kontext:

• Ich konnte es vor etwa einem Jahr für MariaDB zum Laufen bringen, aber aufgrund spezifischer Anforderungen möchten wir auf MySQL umsteigen und die Enterprise Edition ist für die Kerberos Pluggable Authentication erforderlich.
• Die Der Server ist mit der Active Directory-Domäne verbunden.

Ich habe mit dem Befehl ktpass.exe /princ mysql/[server_hostname]@[realm_fqdn] /mapuser svc_mysql /pass [Dienstkontokennwort] eine Keytab-Datei auf einem Domänencontroller generiert /out mysql.keytab /crypto all / ptype KRB5_NT_PRINCIPAL /mapop set und dann die generierte Keytab-Datei abgelegt /var/mysql/data/

Code: Select all

$ ls -l /var/mysql/data/
total 4
-rw-------. 1 mysql mysql 412 Jan 13 09:20 mysql.keytab

Hier ist der Inhalt von /etc/my.cnf:

Code: Select all

[client-server]
port = 3306
socket = /run/mysqld/mysqld.sock

[mysqld]
datadir=/var/lib/mysql
socket=/var/lib/mysql/mysql.sock
log-error=/var/log/mysqld.log
pid-file=/var/run/mysqld/mysqld.pid

plugin-load-add=authentication_kerberos.so
authentication_kerberos_service_principal=mysql/[server_hostname]@[realm_fqdn]
authentication_kerberos_service_key_tab=/var/mysql/data/mysql.keytab

[mysql]
plugin_authentication_kerberos_client_mode=GSSAPI

Bestätigt, dass das Plugin aktiv ist mit:

Code: Select all

mysql> SELECT PLUGIN_NAME, PLUGIN_STATUS
->        FROM INFORMATION_SCHEMA.PLUGINS
->        WHERE PLUGIN_NAME = 'authentication_kerberos';
+-------------------------+---------------+
| PLUGIN_NAME             | PLUGIN_STATUS |
+-------------------------+---------------+
| authentication_Kerberos | ACTIVE        |
+-------------------------+---------------+
1 row in set (0.00 sec)

Dann habe ich den Benutzer erstellt mit:

Code: Select all

CREATE USER [sAMaccountName]
IDENTIFIED WITH authentication_kerberos
BY '[realm_fqdn]';

Beim Anmelden mit diesem Benutzer auf dem Server erhalte ich die folgende Fehlermeldung:

Code: Select all

$ mysql
ERROR 1045 (28000): Access denied for user '[UPN]'@'localhost' (using password: NO)

Hier ist die Ausgabe von klist & kinit:

Code: Select all

$ kinit [sAMAccountName]
Password for [UPN]:
$ klist
Ticket cache: KCM:1930002249:43752
Default principal: [UPN]
Valid starting       Expires              Service principal
01/13/2025 10:45:22  01/13/2025 20:45:22  krbtgt/[fqdn]@[fqdn]
renew until 01/20/2025 10:45:15

Ich konnte keine Fehler finden, die hilfreicher oder informativer sind als der Standardfehler „Zugriff verweigert“.
Hat das jemand? Gibt es Vorschläge zur Fehlerbehebung oder mögliche Fehlerprotokolle?