重要

このページは英語版のページを機械翻訳しています。原文はこちらからご覧ください。

MySQLとのSecurity互換性

TiDBはMySQL 5.7と同様のセキュリティ機能をサポートし、MySQL 8.0の一部のセキュリティ機能もサポートしています。TiDBのセキュリティ機能は、実装においてMySQLとは異なります。

サポートされていないセキュリティ機能

カラムレベルの権限。
これらの権限属性: max_questions 、 max_updated 、およびmax_user_connections 。
パスワード検証ポリシー。パスワードを変更するときに、現在のパスワードを検証する必要があります。
二重パスワードポリシー。
ランダムパスワード生成。
多要素認証。

MySQLとの違い

パスワード有効期限ポリシー

TiDB と MySQL のパスワード有効期限ポリシーには次の違いがあります。

MySQL は、v5.7 および v8.0 でパスワード有効期限ポリシーをサポートしています。
TiDB は、v6.5.0 以降でパスワード有効期限ポリシーをサポートします。

TiDB の有効期限メカニズムは、次の点で MySQL と異なります。

MySQL v5.7 および v8.0 では、クライアントとサーバーの構成を組み合わせて、クライアント接続に「サンドボックスモード」を有効にするかどうかを決定します。
TiDB では、 security.disconnect-on-expired-password構成項目だけで、クライアント接続に対して「サンドボックスモード」を有効にするかどうかが決まります。

パスワードの複雑さのポリシー

TiDB と MySQL のパスワード複雑性ポリシーには、次の違いがあります。

MySQL v5.7 は、 validate_passwordプラグインを使用してパスワードの複雑さのポリシーを実装します。
MySQL v8.0 では、 validate_passwordコンポーネントを使用してパスワードの複雑さのポリシーが再実装されています。
TiDB では、v6.5.0 以降、組み込みのパスワード複雑さ管理機能が導入されています。

機能の実装には次の違いがあります。

機能を有効にします:
- MySQL v5.7では、この機能はvalidate_passwordプラグインを使用して実装されています。プラグインをインストールすることで、この機能を有効化できます。
- MySQL v8.0では、この機能はvalidate_passwordコンポーネントを使用して実装されています。この機能を有効にするには、コンポーネントをインストールしてください。
- TiDBにはこの機能が組み込まれています。システム変数validate_password.enable使用してこの機能を有効にできます。
辞書チェック:
- MySQL v5.7では、変数validate_password_dictionary_file使用してファイルパスを指定できます。このファイルには、パスワードに使用できない単語のリストが含まれています。
- MySQL v8.0では、変数validate_password.dictionary_file使用してファイルパスを指定できます。このファイルには、パスワードに使用できない単語のリストが含まれています。
- TiDBでは、システム変数validate_password.dictionaryを使用して文字列を指定できます。この文字列には、パスワードに使用できない単語のリストが含まれます。

パスワード失敗の追跡

TiDB と MySQL のパスワード失敗追跡ポリシーには、次の違いがあります。

MySQL v5.7 はパスワード失敗の追跡をサポートしていません。
MySQL v8.0 はパスワード失敗の追跡をサポートしています。
TiDB は、v6.5.0 以降でパスワード失敗の追跡をサポートしています。

失敗した試行回数とアカウントのロック状態はグローバルに一貫している必要があり、分散データベースである TiDB は MySQL のように失敗した試行回数とロック状態をサーバーメモリに記録できないため、実装メカニズムは TiDB と MySQL で異なります。

自動的にロックされないユーザーの場合、次のシナリオで失敗した試行回数がリセットされます。
- MySQL 8.0:
  - サーバーを再起動すると、すべてのアカウントの失敗した試行回数がリセットされます。
  - FLUSH PRIVILEGES実行すると、すべてのアカウントの失敗した試行回数がリセットされます。
  - ALTER USER ... ACCOUNT UNLOCK実行してアカウントのロックを解除すると、カウントはリセットされます。
  - アカウントが正常にログインすると、カウントはリセットされます。
- TiDB:
  - ALTER USER ... ACCOUNT UNLOCK実行してアカウントのロックを解除すると、カウントはリセットされます。
  - アカウントが正常にログインすると、カウントはリセットされます。
自動的にロックされるユーザーの場合、次のシナリオで失敗した試行回数がリセットされます。
- MySQL 8.0:
  - サーバーを再起動すると、すべてのアカウントの一時ロックがリセットされます。
  - FLUSH PRIVILEGES実行すると、すべてのアカウントの一時ロックがリセットされます。
  - アカウントのロック時間が終了した場合、次回のログイン試行時にアカウントの一時ロックはリセットされます。
  - ALTER USER ... ACCOUNT UNLOCK実行してアカウントのロックを解除すると、アカウントの一時的なロックがリセットされます。
- TiDB:
  - アカウントのロック時間が終了した場合、次回のログイン試行時にアカウントの一時ロックはリセットされます。
  - ALTER USER ... ACCOUNT UNLOCK実行してアカウントのロックを解除すると、アカウントの一時的なロックがリセットされます。

パスワード再利用ポリシー

TiDB と MySQL のパスワード再利用ポリシーには次の違いがあります。

MySQL v5.7 はパスワード再利用管理をサポートしていません。
MySQL v8.0 はパスワード再利用管理をサポートしています。
TiDB は、v6.5.0 以降でパスワード再利用管理をサポートしています。

TiDBとMySQLの実装メカニズムは一貫しています。どちらもmysql.password_historyのシステムテーブルを使用してパスワード再利用管理機能を実装しています。ただし、 mysql.userシステムテーブルに存在しないユーザーを削除する場合、TiDBとMySQLの動作は異なります。

シナリオ：ユーザー（ user01 ）は通常の方法で作成されず、 INSERT INTO mysql.password_history VALUES (...)文を使用してuser01のレコードをmysql.password_historyシステムテーブルに追加することで作成されます。この場合、 user01のレコードはmysql.userシステムテーブルに存在しないため、 user01に対してDROP USER実行すると、TiDBとMySQLの動作が異なります。
- MySQL: DROP USER user01実行すると、MySQL はmysql.userとmysql.password_historyからuser01探します。いずれかのシステムテーブルにuser01が含まれている場合、 DROP USER文は正常に実行され、エラーは報告されません。
- TiDB: DROP USER user01実行すると、TiDBはmysql.userからのみuser01検索しようとします。関連レコードが見つからない場合、 DROP USER文は失敗し、エラーが報告されます。文を正常に実行し、 mysql.password_historyからuser01レコードを削除したい場合は、代わりにDROP USER IF EXISTS user01使用してください。

認証プラグインのステータス

TiDBは複数の認証方法をサポートしています。これらの方法は、 CREATE USERとALTER USER使用してユーザーごとに指定できます。これらの方法は、MySQLの同名の認証方法と互換性があります。

以下の表に示されているサポートされている認証方法のいずれかを使用できます。クライアントとサーバー間の接続を確立する際にサーバーが通知するデフォルトの認証方法を指定するには、変数default_authentication_plugin設定します。3 tidb_sm3_password 、TiDB でのみサポートされている SM3 認証方法です。したがって、この方法で認証するには、 TiDB-JDBC使用して TiDB に接続する必要があります。7 tidb_auth_token 、 TiDB Cloudで使用される JSON Web Token (JWT) ベースの認証方法で、TiDB Self-Managed でも使用できるように設定できます。

TLS認証のサポートは設定方法が異なります。詳細については、 TiDBクライアントとサーバー間のTLSを有効にする参照してください。

認証方法	サポートされている
`mysql_native_password`	はい
`sha256_password`	いいえ
`caching_sha2_password`	はい、5.2.0以降
`auth_socket`	はい、5.3.0以降
`tidb_sm3_password`	はい、6.3.0以降
`tidb_auth_token`	はい、6.4.0以降
`authentication_ldap_sasl`	はい、7.1.0以降
`authentication_ldap_simple`	はい、7.1.0以降
TLS証明書	はい
LDAP	はい、7.1.0以降
パム	いいえ
ed25519 (マリアDB)	いいえ
GSSAPI (MariaDB)	いいえ
ファイド	いいえ

`tidb_auth_token`

tidb_auth_token JSON ウェブトークン (JWT)ベースにしたパスワードレス認証方式です。v6.4.0では、 tidb_auth_token TiDB Cloudのユーザー認証にのみ使用されます。v6.5.0以降では、 tidb_auth_token TiDB Self-Managedのユーザー認証方式としても設定できます。 mysql_native_passwordやcaching_sha2_passwordなどのパスワードベースの認証方式とは異なり、 tidb_auth_tokenを使用してユーザーを作成する場合、カスタムパスワードを設定したり保存したりする必要はありません。TiDBにログインするには、ユーザーはパスワードの代わりに署名付きトークンを使用するだけで済むため、認証プロセスが簡素化され、セキュリティが向上します。

JWT

JWTは、ヘッダー、ペイロード、署名の3つの部分で構成されます。これらはbase64でエンコードされた後、ドットで区切られた文字列（ . ）に連結され、クライアントとサーバー間で送信されます。

ヘッダーには、3 つのパラメータを含む JWT のメタデータが記述されます。

alg : 署名のアルゴリズム。デフォルトはRS256です。
typ : トークンの種類 ( JWT )。
kid : トークン署名を生成するためのキー ID。

ヘッダーの例を次に示します。

{
  "alg": "RS256",
  "kid": "the-key-id-0",
  "typ": "JWT"
}

ペイロードはJWTの主要部分であり、ユーザー情報が格納されます。ペイロード内の各フィールドはクレームと呼ばれます。TiDBユーザー認証に必要なクレームは以下のとおりです。

iss : CREATE USERときにTOKEN_ISSUER指定されていないか空に設定されている場合、このクレームは必要ありません。それ以外の場合、 iss TOKEN_ISSUERと同じ値を使用する必要があります。
sub : このクレームは、認証されるユーザー名と同じである必要があります。
iat : issued atはトークン発行時のタイムスタンプです。TiDBでは、この値は認証時刻より遅くてはならず、認証の15分前より早くてはなりません。
exp : トークンの有効期限のタイムスタンプ。認証時刻より前の場合、認証は失敗します。
email : ユーザー作成時にメールアドレスをATTRIBUTE '{"email": "xxxx@pingcap.com"}で指定できます。ユーザー作成時にメールアドレスが指定されていない場合は、このクレームは空の文字列に設定する必要があります。それ以外の場合は、このクレームはユーザー作成時に指定された値と同じである必要があります。

ペイロードの例を次に示します。

{
  "email": "user@pingcap.com",
  "exp": 1703305494,
  "iat": 1703304594,
  "iss": "issuer-abc",
  "sub": "user@pingcap.com"
}

署名は、ヘッダーとペイロードデータに署名するために使用されます。

警告

ヘッダーとペイロードのBase64エンコードは可逆です。機密情報を添付しないでください。
tidb_auth_token認証方法では、クライアントがmysql_clear_passwordプラグインをサポートし、トークンをプレーンテキストで TiDB に送信する必要があります。そのため、 tidb_auth_token使用する前にクライアントとサーバー間のTLSを有効にする実行する必要があります。

使用法

TiDB Self-Managed ユーザーの認証方法としてtidb_auth_token設定して使用するには、次の手順を実行します。

TiDB 構成ファイルでauth-token-jwksとauth-token-refresh-interval構成します。
たとえば、次のコマンドを使用して JWKS の例を取得できます。
```
wget https://raw.githubusercontent.com/CbcWestwolf/generate_jwt/master/JWKS.json
```
次に、 config.tomlでサンプル JWKS のパスを設定します。
```
[security]
auth-token-jwks = "JWKS.json"
```
tidb-server起動し、定期的に JWKS を更新してauth-token-jwksで指定されたパスに保存します。
tidb_auth_tokenでユーザーを作成し、必要に応じてREQUIRE TOKEN_ISSUERとATTRIBUTE '{"email": "xxxx@pingcap.com"}を使用してissとemail指定します。
たとえば、 tidb_auth_tokenを持つユーザーuser@pingcap.comを作成します。
```
CREATE USER 'user@pingcap.com' IDENTIFIED WITH 'tidb_auth_token' REQUIRE TOKEN_ISSUER 'issuer-abc' ATTRIBUTE '{"email": "user@pingcap.com"}';
```

認証用のトークンを生成して署名し、MySQL クライアントのmysql_clear_textプラグインを使用して認証します。

go install github.com/cbcwestwolf/generate_jwtから JWT 生成ツールをインストールします（このツールはtidb_auth_tokenテストにのみ使用されます）。例:

generate_jwt --kid "the-key-id-0" --sub "user@pingcap.com" --email "user@pingcap.com" --iss "issuer-abc"

公開鍵とトークンは次のように出力。

ログインの最後の行にある上記のトークンをコピーします。

mycli -h 127.0.0.1 -P 4000 -u 'user@pingcap.com' -p '<the-token-generated>'

ここで紹介するMySQLクライアントがmysql_clear_passwordプラグインをサポートしていることを確認してください。3 マイクリデフォルトでこのプラグインをサポートし、有効化します。5 MySQLコマンドラインクライアント使用している場合は、 --enable-cleartext-pluginオプションを使用してこのプラグインを有効化する必要があります。

mysql -h 127.0.0.1 -P 4000 -u 'user@pingcap.com' -p'<the-token-generated>' --enable-cleartext-plugin

トークンの生成時に誤った--subが指定された場合 ( --sub "wronguser@pingcap.com"など)、このトークンを使用した認証は失敗します。

jwt.ioが提供するデバッガーを使用してトークンをエンコードおよびデコードできます。