我们希望客户端使用来自受信任(内部)颁发者的客户端证书连接到我们的 MariaDB 服务器,然后记录哪个用户连接了。
不幸的是,以下限制阻碍了成功:
- 可以信任来自同一发行者的所有人,但他们都必须映射到同一个 MariaDB 用户。
- 可以审计日志用户连接,但日志仅显示实际的 MariaDB 用户,而不是客户端正在使用的证书的主题。
- 无法根据客户端证书动态创建实际的 MariaDB 用户。
除了为每个可能的客户端证书预先填充一个 MariaDB 用户之外,还有其他方法可以解决我们的困境吗?
答案1
是的,你注定要为每个要连接到服务器的用户创建一个 MariaDB 用户,并且使用。这是一种丑陋且容易出错的语法。MySQL 的用户管理在很多方面都相当糟糕。REQUIRE SUBJECT '/CN=foo/[email protected]/'