こんにちは。R&D本部・経営情報システム部の友安です。
経営情報システム部では社内システム・プロダクト横断でのお金周りの開発や監査対応、
社内のコミュニケーション効率化など、多岐にわたり社内の問題解決に努めています。
社内の権限管理
組織が大きくなってくると色々と統制が求められるようになります。 統制の1つに権限管理の強化が挙げられます。 しかし管理の強化には運用コストが伴います。そのため、より小さな運用コストで実現することは重要なテーマになります。
今回は商用版MySQLの権限管理に便利なPAM認証プラグインの機能を紹介します。
MySQL×LDAP認証
やりたかったこと
- 運用時やリリース時に利用していた共用のMySQLユーザを廃止し、DB上の権限をメンバーごとに管理する。
- それを低い運用コストで実現したい。
- 弊社はサーバへのアクセス権限などをLDAP*1で管理していたので、MySQL上の権限もLDAPで一元的に管理したかった。
MySQL PAM認証プラグイン
商用版MySQLの機能にPAM認証プラグインがあります。
PAM認証プラグインを用いると、MySQLログイン時の認証をLDAPに委譲し、更にLDAPのグループとMySQLユーザのマッピングを指定できます。
これにより、LDAPのdb_admin
というグループに所属するエントリがMySQLログインした際は、強力な権限を持つMySQLユーザになる、といったことができます。
既にLDAPを運用している組織では、多重管理による運用コスト増大を回避しつつMySQL上の権限を制御出来ます。
設定例
想定するLDAPのグループとマッピング先のMySQLユーザに付与したい権限は以下とします。
今回の例ではシンプルな3グループで設定します。
LDAPグループ | 所属メンバー | DB上の権限 | MySQLユーザ |
---|---|---|---|
db_admin | DBA | ALL | db_admine_user |
operation | 運用チーム | データ更新 | operation_user |
engineer | 全エンジニア | readonly | engineer_user |
pam設定ファイルの作成
以下の形式でPAM認証プラグインが使用するpam設定ファイルを作成します。
---------------------------------------------------------------- #%PAM-1.0 auth required {認証モジュール} account required {認証モジュール}
----------------------------------------------------------------
使用するLDAPクライアントはpbis-openです。
/etc/pam.d
以下にpam設定ファイルを作成します。ファイル名はmysql
とします。
/etc/pam.d/MySQL
----------------------------------------------------------------
#%PAM-1.0 auth required pam_lsass.so account required pam_lsass.so
----------------------------------------------------------------
MySQL側の設定
- PAM認証プラグインをインストール
----------------------------------------------------------------
install plugin authentication_pam soname 'authentication_pam.so';
----------------------------------------------------------------
- MySQLユーザを作成、権限設定
----------------------------------------------------------------
-- プロキシされるユーザの作成 CREATE USER 'db_admin_user'@'192.168.%.%' IDENTIFIED BY 'hoge1'; CREATE USER 'operation_user'@'192.168.%.%' IDENTIFIED BY 'hoge2'; CREATE USER 'engineer_user'@'192.168.%.%' IDENTIFIED BY 'hoge3'; -- 各ユーザに権限付与 GRANT ALL ON *.* TO 'db_admin_user'@'192.168.%.%'; GRANT SELECT,UPDATE,INSERT,DELETE ON *.* TO 'operation_user'@'192.168.%.%'; GRANT SELECT ON *.* TO 'engineer_user'@'192.168.%.%'; -- プロキシ用の匿名ユーザを作成 -- AS以降の文字列(authentiation_string)は {pam設定ファイル名}, {LDAPグループ}={MySQLユーザ} の形式で記述する CREATE USER ''@'192.168.%.%' IDENTIFIED WITH authentication_pam AS 'mysql, db_admin=db_admin_user, operation=operation_user, engineer=engineer_user'; -- プロキシ権限を付与 GRANT PROXY ON 'db_admin_user'@'192.168.%.%' TO ''@'192.168.%.%'; GRANT PROXY ON 'operation_user'@'192.168.%.%' TO ''@'192.168.%.%'; GRANT PROXY ON 'engineer_user'@'192.168.%.%' TO ''@'192.168.%.%';
----------------------------------------------------------------
ここまでの設定で、LDAPのユーザ名でログイン時に次のような流れで認証されるようになります。
- ユーザ名をLDAPユーザにしてログイン。
mysql.user
テーブル上に合致するユーザ名が見つからない。- 合致するユーザ名が無い場合、匿名ユーザにマッチングされる。
- 匿名ユーザの認証にPAM認証プラグインが設定されているため、PAM認証が行われる。
- 認証に成功すると、匿名ユーザはLDAPグループごとにマッピングしたMySQLユーザをプロキシする。
上記のLDAPグループに複数所属している場合、記述した順でマッピングされる。
例だと db_admin > operation > engineerの優先度でマップされるので、 db_adminとengineerに所属するユーザはdb_admin_userとなる
ログイン動作確認
- ログイン
----------------------------------------------------------------
mysql -u {ldap_user} -p
----------------------------------------------------------------
- ログイン後
----------------------------------------------------------------
SELECT user(),current_user();
----------------------------------------------------------------
上記のクエリ実行でuser()
にLDAPのユーザ名が、current_user()
にLDAPグループに対応したMySQLユーザ名が表示されます。
踏み台ホストで権限を変える
MySQLサーバにアクセスする踏み台ホストを変えることで、マッピングするユーザを変えることもできます。
これにより、192.168.0.1からのアクセス時はreadonlyなユーザにマッピングし、SELECTして調査したいだけの時は、不要な権限を持たないMySQLユーザを使ってもらうといった運用も可能です。
192.168.0.1からアクセスした際はreadonlyなユーザにマッピングするように設定
----------------------------------------------------------------
CREATE USER 'engineer_readonly'@'192.168.0.1' IDENTIFIED BY 'hogehoge'; GRANT SELECT ON *.* TO 'engineer_readonly'@'192.168.0.1'; -- エンジニア全員が所属するengineerグループにengineer_readonlyユーザをマッピング。これにより192.168.0.1からアクセスした際は全エンジニアがreadonly権限のユーザになる CREATE USER ''@'192.168.0.1' IDENTIFIED WITH authentication_pam AS 'mysql, engineer=engineer_readonly'; GRANT PROXY ON 'engineer_readonly'@'bar' TO ''@'192.168.0.1';
----------------------------------------------------------------
監査ログ
MySQLの監査ログプラグイン(こちらも商用版MySQL)と組み合わせると、?LDAPグループとマッピングされるMySQLユーザを指定したフィルタを作ることで、簡単にLDAP認証でログインした全ユーザをロギング対象にすることができます。*2
----------------------------------------------------------------
注意
MySQL 5.7.12以前のバージョンでは監査ログプラグインの挙動にバグがあり、LDAP認証でログインした全てのユーザをロギング対象にするには、 全LDAPエントリ×アクセス元となり得る全てのhostを指定するフィルタを作成しなければいけません。*3
----------------------------------------------------------------
まとめ
商用版MySQLの機能であるPAM認証プラグインを利用し、ログイン認証をLDAPに委譲することで、 低運用コストでのデータベース権限管理を実現する方法を紹介しました。
特にLDAPを運用している組織にとって有用な方法になり得ます。
実運用ではリリーススピードを緩めないような権限委譲など、組織の設計が重要になると思います。
*1:ネットワーク機器やユーザーなどの情報を管理するディレクトリサービスへ接続するためのプロトコルhttp://www.atmarkit.co.jp/aig/06network/ldap.html
*2:MySQL :: MySQL 5.7 Reference Manual :: 6.4.5 MySQL Enterprise Audit
*3:18 Changes in MySQL 5.7.12 (2016-04-11, General Availability)