MySQL authentication hashes

[baszoetekouw]

De MySQL server gebruikt intern nog de mysql_native_password plugin voor authenticatie. Er zijn op Aurora twee alternatieven: sha256_password en AWSAuthenticationPlugin. Beide zijn niet briljant: sha256_password is nog steeds niet briljant qua beveiliging, en AWSAuthenticationPlugin vereist specifieke integratie met AWS in de database calls van SBS (zie bv https://stackoverflow.com/questions/61100925/sqlalchemy-refreshable-credentials-for-iam-auth-with-boto3).

Moet ik nog even over nadenken dus,.

[baszoetekouw]

Ik denk dat we otch wel sha256-based passwords willen (is ook de default in recente mysql installaties, zie https://dev.mysql.com/doc/refman/8.0/en/sha256-pluggable-authentication.html).

Betekent wel dat we de gebruikers van de databse (admin en sbs) moeten migreren. En dat moet ook nog in terraform en in ansible, ben ik bang.

[baszoetekouw]

We gaan migreren naar SURFconext database, daar is dit opgelost. Niet oplossen in AWS.