Аудит соединений с использованием сертификатов

Question

Аудит соединений с использованием сертификатов

Мы хотели бы, чтобы клиенты подключались к нашему серверу MariaDB, используя клиентские сертификаты от доверенного (внутреннего) эмитента, а затем регистрировали, какой пользователь подключился.

К сожалению, следующие ограничения препятствуют успеху:

Можно доверять всем от одного и того же эмитента, но тогда все они должны быть сопоставлены одному и тому же пользователю MariaDB.
Можно провести аудит подключений пользователей журнала, но в журналах отображается только фактический пользователь MariaDB, а не субъект сертификата, который использует клиент.
Невозможно динамически создавать реальных пользователей MariaDB на основе сертификата клиента.

Есть ли решение нашей дилеммы, кроме предварительного заполнения пользователя MariaDB для каждого возможного сертификата клиента?

1

mysql security ssl-certificate mariadb

Источник

David Timothy Strauss 05 сен '14 в 21:57

1 ответ

Другие вопросы по тегам mysql security ssl-certificate mariadb

womble 13 авг '15 в 01:40 2015-08-13 01:40 · Answer 1 · 2015-08-13 01:40

Да, вы обречены на создание пользователя MariaDB для каждого пользователя, которого вы хотите подключить к серверу, с REQUIRE SUBJECT '/CN=foo/emailAddress=foo@example.com/', Это отвратительный, подверженный ошибкам синтаксис. Управление пользователями в MySQL довольно разнообразно.