MySQL サーバーは、plugin カラムで名前が指定された認証プラグインを使用して、mysql.user テーブルに一覧表示されたアカウントごとに接続の試行を認証します。plugin カラムが空である場合、サーバーは次のように認証を実行します。

4.1 よりも前のパスワードハッシュおよび mysql_old_password プラグインは、MySQL 5.6.5 の時点で非推奨となり、4.1 のパスワードハッシュ化および mysql_native_password プラグインによって提供されるよりも低いセキュリティーレベルを提供します。plugin カラムを空以外にする必要のある MySQL 5.7.2 の要件と、5.7.5 で mysql_old_password のサポートが削除されたことを合わせて考えると、DBA は次のようにアカウントをアップグレードすることをお勧めします。

このセクションの手順では、これらのアップグレードを実行する方法について説明します。その結果、アカウントは空の plugin 値を持たず、4.1 よりも前のパスワードハッシュ化または mysql_old_password プラグインを使用しません。

これらの手順のバリエーションとして、DBA は、SHA-256 パスワードハッシュを使用して認証する sha256_password プラグインにアップグレードするという選択肢をユーザーに提示することがあります。このプラグインについては、セクション6.3.8.4「SHA-256 認証プラグイン」を参照してください。

次の表には、この説明で検討される mysql.user アカウントのタイプを一覧表示します。

mysql_native_password プラグインの行に対応するアカウントでは、(プラグインやハッシュ形式を変更する必要がないため) アップグレードアクションは必要ありません。パスワードが空の行に対応するアカウントでは、DBA は、パスワードを選択するようにアカウントの所有者に要求することを検討するべきです (または、ALTER USER を使用して空のアカウントパスワードを期限切れにすることで、それを要求するべきです)。

mysql_native_password の暗黙的な使用から明示的な使用へのアップグレード

空のプラグインと 4.1 のパスワードハッシュを持つアカウントは、暗黙的に mysql_native_password を使用します。mysql_native_password を明示的に使用するようにアカウントをアップグレードするには、DBA は次のステートメントを実行するようにしてください。

UPDATE mysql.user SET plugin = 'mysql_native_password'
WHERE plugin = '' AND (Password = '' OR LENGTH(Password) = 41);
FLUSH PRIVILEGES;

MySQL 5.7.2 以降では、DBA は、そのアップグレードアクション間で同じ処理を行う mysql_upgrade を実行できます。5.7.2 よりも前では、DBA はこれらのステートメントを実行して、アカウントをプロアクティブにアップグレードできます。

注:

mysql_old_password から mysql_native_password へのアカウントのアップグレード

mysql_native_password を明示的に使用するには、(暗黙的または明示的に) mysql_old_password を使用しているアカウントをアップグレードするようにしてください。これを行うには、プラグインを変更かつ4.1 よりも前から 4.1 のハッシュ形式にパスワードを変更する必要があります。

この手順で説明したアカウントをアップグレードする必要がある場合は、次の条件のいずれかに当てはまります。

このようなアカウント識別するには、次のクエリーを使用します。

SELECT User, Host, Password FROM mysql.user
WHERE (plugin = '' AND LENGTH(Password) = 16)
OR plugin = 'mysql_old_password';

次の説明では、そのアカウントセットを更新するための 2 つの方法を示します。これらは異なる特性を持っているため、DBA は両方とも読み、特定の MySQL インストールに最適な方を決定するようにしてください。

方法 1.

この方法の特性:

DBA は、サーバーが secure_auth=0 を指定して実行されていることを確認するようにしてください。

明示的に mysql_old_password を使用するすべてのアカウントでは、DBA は空のプラグインに設定するようにしてください。

UPDATE mysql.user SET plugin = ''
WHERE plugin = 'mysql_old_password';
FLUSH PRIVILEGES;

また、影響を受けるアカウントのパスワードを期限切れにするには、次のステートメントを使用します。

UPDATE mysql.user SET plugin = '', password_expired = 'Y'
WHERE plugin = 'mysql_old_password';
FLUSH PRIVILEGES;

この時点で、影響を受けるユーザーはサーバーに接続し、4.1 のハッシュ化が使用されるようにパスワードをリセットできます。DBA は空のプラグインを現在持っている各ユーザーに、接続して次のステートメントを実行するように要求するようにしてください。

SET old_passwords = 0;
SET PASSWORD = PASSWORD('user-chosen-password');

shell> mysql -u user_name -p --secure-auth=0

影響を受けるユーザーがこれらのステートメントを実行したあとに、DBA は対応するアカウントプラグインを mysql_native_password に設定すると、プラグインを明示的にすることができます。また、DBA は次のステートメントを定期的に実行すると、影響を受けるユーザーが自分のパスワードをリセットした任意のアカウントを検索および修正できます。

UPDATE mysql.user SET plugin = 'mysql_native_password'
WHERE plugin = '' AND (Password = '' OR LENGTH(Password) = 41);
FLUSH PRIVILEGES;

空のプラグインを持つアカウントがなくなると、このクエリーは空の結果を返します。

SELECT User, Host, Password FROM mysql.user
WHERE (plugin = '' AND LENGTH(Password) = 16);

この時点で、すべてのアカウントは 4.1 よりも前のパスワードハッシュ化から移行され、secure_auth=0 を指定してサーバーを実行する必要がなくなります。

方法 2.

この方法の特性:

この方法では、パスワードを個別に設定する必要があるため、DBA は各アカウントを別々に更新します。DBA は、アカウントごとに別々のパスワードを選択するようにしてください。

'user1'@'localhost' がアップグレードされるアカウントの 1 つであると仮定します。DBA は、次のように変更するようにしてください。

SET old_passwords = 0;
UPDATE mysql.user SET plugin = 'mysql_native_password',
Password = PASSWORD('DBA-chosen-password')
WHERE (User, Host) = ('user1', 'localhost');
FLUSH PRIVILEGES;

また、パスワードを期限切れにするには、代わりに次のステートメントを使用します。

SET old_passwords = 0;
UPDATE mysql.user SET plugin = 'mysql_native_password',
Password = PASSWORD('DBA-chosen-password'), password_expired = 'Y'
WHERE (User, Host) = ('user1', 'localhost');
FLUSH PRIVILEGES;

次に DBA は、ユーザーに新しいパスワードを通知して、そのパスワードを使用してサーバーに接続し、新しいパスワードを選択するために次のステートメントを実行するようにユーザーに要求するようにしてください。

SET old_passwords = 0;
SET PASSWORD = PASSWORD('user-chosen-password');

アップグレードするアカウントごとに繰り返します。