· · · · · · · · · · · · · · · · · · · · · · · 6725 17.9.2 Lightweight Directory Access Protocol (LDAP) · · · · · · · · · · · · · · · · · · · · 6725 17.9.3 Long Term Support (LTS) · · · · · · · · · · tidb_auth_token authentication Y Y Y Y Y Y Y N N N N N authentication_ldap_sasl authentication Y Y Y Y Y N N N N N N N authentication_ldap_simple authentication Y Y Y Y Y Y N N N N N N Password management admin_user = admin admin_password = admin [snapshots] [users] [auth.anonymous] 1546 [auth.basic] [auth.ldap] [smtp] [emails] [log] mode = file [log.console] [log.file] level = info format = text [log.syslog]

the RU (max) metric on the Resource Control dashboard #49318 @nolouch • Add a timeout mechanism for LDAP authentication to avoid the issue of resource lock (RLock) not being released in time #51883 @YangKeao N tidb_auth_token authentication Y Y Y Y N N N N N authentication_ldap_sasl authentication Y Y N N N N N N N authentication_ldap_simple authentication Y Y Y N N N N N N Password management Y Y Y Y admin_user = admin admin_password = admin [snapshots] [users] [auth.anonymous] 1153 [auth.basic] [auth.ldap] [smtp] [emails] [log] mode = file [log.console] [log.file] level = info format = text [log.syslog]

tidb_auth_token authentication Y Y Y Y Y N N N N N authentication_ldap_sasl authentication Y Y Y N N N N N N N authentication_ldap_simple authentication Y Y Y Y N N N N N N Password management Y Y Y admin_user = admin admin_password = admin [snapshots] [users] [auth.anonymous] 1156 [auth.basic] [auth.ldap] [smtp] [emails] [log] mode = file [log.console] [log.file] level = info format = text [log.syslog] connections receives the connection. "leastconn" is recommended �→ where long sessions are expected, such as LDAP, SQL and TSE, rather �→ than protocols using short sessions, such as HTTP. The algorithm �→ is dynamic

tidb_auth_token authentication Y Y Y Y Y Y N N N N N authentication_ldap_sasl authentication Y Y Y Y N N N N N N N authentication_ldap_simple authentication Y Y Y Y Y N N N N N N Password management Y admin_user = admin admin_password = admin [snapshots] [users] [auth.anonymous] 1161 [auth.basic] [auth.ldap] [smtp] [emails] [log] mode = file [log.console] [log.file] level = info format = text [log.syslog] connections receives the connection. "leastconn" is recommended �→ where long sessions are expected, such as LDAP, SQL and TSE, rather �→ than protocols using short sessions, such as HTTP. The algorithm �→ is dynamic

tidb_auth_token authentication Y Y Y Y Y Y Y N N N N N authentication_ldap_sasl authentication Y Y Y Y Y N N N N N N N authentication_ldap_simple authentication Y Y Y Y Y Y N N N N N N Password management admin_user = admin admin_password = admin [snapshots] [users] [auth.anonymous] 1247 [auth.basic] [auth.ldap] [smtp] [emails] [log] mode = file [log.console] [log.file] level = info format = text [log.syslog] connections receives the connection. "leastconn" is recommended �→ where long sessions are expected, such as LDAP, SQL and TSE, rather �→ than protocols using short sessions, such as HTTP. The algorithm �→ is dynamic

· · · · · · · · · · · · · · · · · · · · · · · 5091 17.9.2 Lightweight Directory Access Protocol (LDAP)· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 5091 17.9.3 Long Y N N N N N tidb_auth_token 认证 Y Y Y Y Y Y Y N N N N N authentication_ldap_sasl 认证 Y Y Y Y Y Y N N N N N N authentication_ldap_simple 认证 Y Y Y Y Y Y N N N N N N 密码管理 Y Y Y Y Y Y Y N N N N N 与 MySQL admin_user = admin admin_password = admin [snapshots] [users] [auth.anonymous] [auth.basic] [auth.ldap] [smtp] [emails] [log] mode = file [log.console] [log.file] level = info format = text [log

Y N N N N N tidb_auth_token 认证 Y Y Y Y Y Y Y N N N N N authentication_ldap_sasl 认证 Y Y Y Y Y Y N N N N N N authentication_ldap_simple 认证 Y Y Y Y Y Y N N N N N N 密码管理 Y Y Y Y Y Y Y N N N N N 与 MySQL admin_user = admin admin_password = admin [snapshots] [users] [auth.anonymous] [auth.basic] [auth.ldap] [smtp] [emails] [log] mode = file [log.console] [log.file] level = info format = text [log mode tcp # HAProxy 要使用第 4 层的传输层。 balance leastconn # 连接数最少的服务器优先接收连接。`leastconn` �→ 建议用于长会话服务，例如 LDAP、SQL、TSE 等，而不是短会话协议，如 HTTP。该算法是动态的 �→ ，对于启动慢的服务器，服务器权重会在运行中作调整。 server tidb-1 10.9.18.229:4000 check

Y Y Y Y N N N N N tidb_auth_token 认证 Y Y Y Y Y N N N N N authentication_ldap_sasl 认证 Y Y Y Y N N N N N N authentication_ldap_simple 认证 Y Y Y Y N N N N N N 密码管理 Y Y Y Y Y N N N N N 与 MySQL 兼容的 GRANT admin_user = admin admin_password = admin [snapshots] [users] [auth.anonymous] [auth.basic] [auth.ldap] [smtp] [emails] [log] mode = file [log.console] [log.file] level = info format = text [log mode tcp # HAProxy 要使用第 4 层的传输层。 balance leastconn # 连接数最少的服务器优先接收连接。`leastconn` �→ 建议用于长会话服务，例如 LDAP、SQL、TSE 等，而不是短会话协议，如 HTTP。该算法是动态的 �→ ，对于启动慢的服务器，服务器权重会在运行中作调整。 server tidb-1 10.9.18.229:4000 check

比较 大的代价。因此先做⼀个管理员账号的登录管理，从而降低安全风险。 需求 1. 支持定制启用或不启用登录系统，默认启动登录功能（有人自己做控制台，不想启用登录能力） 2. SSO 支持 LDAP 即可（通过扩展机制） 3. 用户退出 方案 安全架构选型 目前开源框架主要有 Spring Security 和 Apache Shiro，下面进行⼀下简单对比。 由于 Nacos 本身就是⼀个 粒度的权限控制台能力，选择 spring security。 111 > Nacos 架构 Spring Security（推荐） Apache Shiro 易用性 简单够用 略复杂强大 sso 支持情况 LDAP SMAL Oauth only SMAL 权限控制粒度 粗 细 三方依赖 无 spring 社区活跃度 高 低 会话管理 会话选型 登录流程现在主要有两种模式，⼀种是 session 框架的 star 和 commiter 比较多： http://andaily.com/blog/?p=956 会话超时 会话默认 30 分钟超时，暂时不可配置。 SSO 支持 目前仅支持 LDAP，后续让社区贡献，如 SMAL。 Nacos 架构 < 114 UI 设计 登录成功之后，右上角显示登录用户名，和退出按钮。 点击退出，这个 session 失效。 接口设计 接口信息：

构建高可用(HA)仓库服务 [4] 多数据中心HA部署 与Harbor集成 Restful API • 完善的API • 遵循OpenAPI规范 • 通过Swagger生成调用代码 AUTH集成 • AD/LDAP • OIDC 漏洞扫描器 • 扫描器适配API规范 • 插件式扫描器框架 DoSec P2P引擎 • 标准化Adapter接口定义 制品类型 • 遵循OCI规范