ネイティブ認証を実行するプラグイン。つまり、MySQL でプラガブル認証が導入される前から使用されているパスワードハッシュ方式に基づく認証です。 mysql_native_password プラグインは、このネイティブパスワードハッシュ方式に基づいて認証を実装します。 セクション6.4.1.1「ネイティブプラガブル認証」を参照してください。

SHA-256 パスワードハッシュを使用して認証を実行するプラグイン。 これは、ネイティブ認証で実現できるよりも強力な暗号化です。 セクション6.4.1.3「SHA-256 プラガブル認証」およびセクション6.4.1.2「SHA-2 プラガブル認証のキャッシュ」を参照してください。

ハッシュ化または暗号化を行わずに、サーバーにパスワードを送信するクライアント側のプラグイン。 このプラグインは、クライアントユーザーが指定したパスワードに正確にアクセスする必要があるサーバー側プラグインと組み合わせて使用されます。 セクション6.4.1.4「クライアント側クリアテキストプラガブル認証」を参照してください。

PAM (Pluggable Authentication Modules) を使用して外部認証を実行し、MySQL Server が PAM を使用して MySQL ユーザーを認証できるようにするプラグイン。 このプラグインでは、プロキシユーザーもサポートされています。 セクション6.4.1.5「PAM プラガブル認証」を参照してください。

Windows で外部認証を実行するプラグイン。これを使用すると、MySQL サーバーがネイティブの Windows サービスを使用して、クライアント接続を認証できます。 Windows にログインしたユーザーは、追加のパスワードを指定せずに、自分の環境内の情報に基づいて MySQL クライアントプログラムからサーバーに接続できます。 このプラグインでは、プロキシユーザーもサポートされています。 セクション6.4.1.6「Windows プラガブル認証」を参照してください。

LDAP (Lightweight Directory Access Protocol) を使用して認証を実行し、X.500 などのディレクトリサービスにアクセスして MySQL ユーザーを認証するプラグイン。 これらのプラグインは、プロキシユーザーもサポートしています。 セクション6.4.1.7「LDAP プラガブル認証」を参照してください。

それを使用するアカウントへのすべてのクライアント接続を妨げるプラグイン。 このプラグインのユースケースには、直接ログインを許可しないが、通常のユーザーに権限を公開せずに昇格された権限を持つストアドプログラムおよびビューを実行できる必要があるプロキシアカウントおよびアカウントを介してのみアクセスされるプロキシアカウントが含まれます。 セクション6.4.1.8「ログインなしのプラガブル認証」を参照してください。

Unix ソケットファイルを使用してローカルホストから接続するクライアントを認証するプラグイン。 セクション6.4.1.9「ソケットピア資格証明プラガブル認証」を参照してください。

アカウント資格証明をチェックし、成功または失敗をサーバーエラーログに記録するテストプラグイン。 このプラグインは、テストおよび開発のために、認証プラグインを作成する方法を示す例として使用されます。 セクション6.4.1.10「プラガブル認証のテスト」を参照してください。

必要に応じて、適切なプラグインを含むプラグインライブラリをインストールします。 サーバーがサーバーホストを使用してクライアント接続を認証できるように、サーバー側プラグインを含むライブラリをインストールします。 同様に、クライアントホストごとに、クライアントプログラムで使用するクライアント側プラグインを含むライブラリをインストールします。 組込みの認証プラグインをインストールする必要はありません。

作成する MySQL アカウントごとに、認証に使用する適切なサーバー側プラグインを指定します。 アカウントがデフォルトの認証プラグインを使用する場合、account-creation ステートメントでプラグインを明示的に指定する必要はありません。 default_authentication_plugin システム変数は、デフォルトの認証プラグインを構成します。

クライアントが接続すると、サーバー側プラグインはクライアントプログラムに認証に使用するクライアント側プラグインを通知します。

5.7.22 以下の MySQL 5.7 クライアントを使用して、caching_sha2_password で認証される MySQL 8.0 サーバーアカウントに接続します。 MySQL 8.0 で導入されたプラグインが 5.7 クライアントで認識されないため、これは失敗します。 (この問題は、caching_sha2_password クライアント側サポートが MySQL クライアントライブラリおよびクライアントプログラムに追加されたときに、5.7.23 の時点で MySQL 5.7 で対処されます。)

MySQL 5.5 クライアントを使用して、sha256_password で認証される MySQL 5.6 サーバーアカウントに接続します。 MySQL 5.6 で導入されたプラグインが 5.5 クライアントで認識されないため、これは失敗します。

MySQL 5.7 クライアントを使用して、mysql_old_password で認証する 5.7 より前のサーバーアカウントに接続します。 これは、複数の理由で失敗します。 まず、このような接続には --secure-auth=0 が必要ですが、これはサポートされなくなりました。 サポートされていても、5.7 クライアントは MySQL 5.7 で削除されたため、プラグインを認識しません。

Community ディストリビューションの MySQL 5.7 クライアントを使用して、エンタープライズ専用 LDAP 認証プラグインのいずれかを使用して認証する MySQL 5.7 Enterprise サーバーアカウントに接続します。 Community クライアントに Enterprise プラグインへのアクセス権がないため、これは失敗します。

MySQL 5.7 では、libmysqlclient は mysql_native_password または mysql_options() の MYSQL_DEFAULT_AUTH オプションで指定されたプラグインのいずれかをデフォルトの選択として使用します。

5.7 クライアントが 8.0 サーバーに接続しようとすると、サーバーは caching_sha2_password をデフォルトの認証プラグインとして指定しますが、クライアントは mysql_native_password または MYSQL_DEFAULT_AUTH を介して指定された資格証明の詳細を送信します。

クライアントがサーバーによって指定されたプラグインをロードするのは変更プラグインリクエストの場合のみですが、その場合はユーザーアカウントに応じて任意のプラグインを使用できます。 この場合、クライアントはプラグインのロードを試みる必要があり、そのプラグインが使用できない場合、エラーはオプションではありません。

一般的なプラガブルな認証の制約

プラガブルな認証とサードパーティーコネクタ

Connector/C++: このコネクタを使用するクライアントは、ネイティブ認証を使用するアカウントを介してのみサーバーに接続できます。

例外: コネクタは、libmysqlclient に (静的ではなく) 動的にリンクするように構築された場合にプラガブルな認証をサポートし、最新バージョンの libmysqlclient がインストールされている場合、またはコネクタが最新の libmysqlclient に対してリンクするようにソースから再コンパイルされている場合にそのバージョンをロードします。

サーバーからのデフォルトのサーバー側認証プラグインに関する情報を処理するコネクタの記述については、認証プラグインコネクタ - 書込みに関する考慮事項 を参照してください。

Connector/NET: Connector/NET を使用するクライアントは、ネイティブ認証または Windows ネイティブ認証を使用するアカウントを介してサーバーに接続できます。

Connector/PHP: このコネクタを使用するクライアントは、PHP 用の MySQL ネイティブドライバ (mysqlnd) を使用してコンパイルされている場合、ネイティブ認証を使用するアカウントを通じてのみサーバーに接続できます。

Windows ネイティブ認証: Windows プラグインを使用するアカウントを通じた接続は、Windows Domain セットアップを必要とします。 これがない場合、NTLM 認証が使用され、ローカル接続だけが可能になります。つまり、クライアントとサーバーを同じコンピュータ上で実行する必要があります。

プロキシユーザー: プロキシユーザーサポートは、プロキシユーザー機能を実装するプラグイン (つまり、接続しているユーザーの名前と異なるユーザー名を返す場合があるプラグイン) で認証されたアカウントを通じて、クライアントが接続できる範囲まで利用できます。 たとえば、PAM および Windows プラグインはプロキシユーザーをサポートしています。 mysql_native_password および sha256_password 認証プラグインは、デフォルトではプロキシユーザーをサポートしていませんが、これを行うように構成できます。プロキシユーザーマッピングのサーバーサポート を参照してください。

レプリケーション: レプリカは、ネイティブ認証を使用してレプリケーションユーザーアカウントを採用するだけでなく、必要なクライアント側プラグインが使用可能な場合は、非ネイティブ認証を使用するレプリケーションユーザーアカウントを介して接続することもできます。 プラグインは、libmysqlclient に組み込まれている場合、デフォルトで利用できます。 それ以外の場合は、レプリカ plugin_dir システム変数で指定されたディレクトリのレプリカ側にプラグインをインストールする必要があります。

FEDERATED テーブル: FEDERATED テーブルは、ネイティブ認証を使用するリモートサーバー上のアカウントを通じてのみリモートテーブルにアクセスできます。

変更が行われていない既存のコネクタは、ネイティブ認証を使用し、このコネクタを使用するクライアントは、ネイティブ認証を使用するアカウントを通じてのみサーバーに接続できます。 ただし、最新バージョンのサーバーに対してコネクタをテストして、このような接続が引き続き問題なく機能することを検証する必要があります。

例外: コネクタは、(静的ではなく) 動的に libmysqlclient にリンクしている場合に、変更せずにプラガブルな認証を処理でき、最新バージョンの libmysqlclient がインストールされている場合に、このバージョンをロードします。

プラガブルな認証機能を利用するには、libmysqlclient ベースのコネクタを、最新バージョンの libmysqlclient に対して再リンクする必要があります。 これにより、コネクタは、現在 libmysqlclient に組み込まれているクライアント側のプラグイン (PAM 認証に必要な平文プラグインや Windows ネイティブ認証に必要な Windows プラグインなど) を必要とするアカウントを通じた接続をサポートできるようになります。 現在の libmysqlclient とのリンクによっても、コネクタは、デフォルトの MySQL プラグインディレクトリ (通常、ローカルサーバーの plugin_dir システム変数のデフォルト値で指名されたディレクトリ) にインストールされたクライアント側にアクセスできるようになります。

コネクタが動的に libmysqlclient にリンクする場合、より新しいバージョンの libmysqlclient がクライアントホストにインストールされていることと、コネクタが実行時にそれをロードすることを確認する必要があります。

コネクタが特定の認証方式をサポートする別の方法は、クライアント/サーバープロトコルに直接実装することです。Connector/NET は、このアプローチを使用して Windows ネイティブ認証をサポートします。

コネクタが、デフォルトのプラグインディレクトリとは異なるディレクトリから、クライアント側のプラグインをロードできる必要がある場合、クライアントユーザーがそのディレクトリを指定するための手段を実装する必要があります。 この候補としては、コネクタがディレクトリ名を取得できるコマンド行オプションまたは環境変数などがあります。 mysql や mysqladmin などの標準 MySQL クライアントプログラムは、--plugin-dir オプションを実装します。 C API Client Plugin Interfaceも参照してください。

コネクタでのプロキシユーザーのサポートは、このセクションで前述したように、コネクタがサポートする認証方式がプロキシユーザーを許可するかどうかによって異なります。