MySQL报错MY-013350，LDAP映射没分隔符，远程帮忙修复故障中

我正在远程协助一位同事处理一个数据库问题,他的MySQL服务器最近在升级到8.0版本后，开始间歇性地出现连接问题，尤其是在尝试使用LDAP（一种用于集中管理用户账号的目录服务）认证登录时，错误日志里频繁记录一条编号为MY-013350的错误信息，这条错误信息的核心内容是“LDAP mapping has no separator”，翻译过来就是“LDAP映射没有分隔符”，同事对这条错误感到困惑，因为它看起来非常底层，而且之前在老版本中运行正常，所以请求我远程连接上去帮忙看看。

我首先让他把完整的错误日志片段发给我,日志显示，当有应用程序尝试通过特定的数据库用户（比如一个叫'app_user'的用户）连接时，认证过程会失败，并抛出MY-013350错误，错误信息还附带了一些上下文，提到了一个叫做“authentication string”（认证字符串）的东西，这立刻让我想到了MySQL LDAP认证插件的相关配置。

在MySQL中,如果你想使用LDAP来认证用户，你需要在创建用户或修改用户权限时，通过一条SQL语句指定一个“认证插件”和一个“认证字符串”，这个认证字符串就是用来告诉MySQL如何与LDAP服务器“对话”的规则，这个字符串会包含如何在LDAP目录中查找用户、匹配哪个属性等信息。

根据MySQL官方手册（参考来源：MySQL 8.0 Reference Manual, Pluggable Authentication）对LDAP认证插件的说明，这个“认证字符串”有严格的格式要求，它通常由多个“键值对”组成，每个“键值对”说明了映射的一个方面，比如uid表示LDAP中的用户名字段，而最关键的是，这些“键值对”之间必须使用一个特定的“分隔符”来分开。

问题就出在这里,MY-013350错误“LDAP mapping has no separator”直接指出了症结：MySQL服务器在解析那个“认证字符串”时，期望找到明确的分隔符来区分不同的设置部分，但它没有找到，或者分隔符的格式不正确，导致整个字符串无法被正确解析。

我让同事在MySQL客户端中执行了这样一条查询语句：SELECT user, host, plugin, authentication_string FROM mysql.user WHERE user = 'app_user';，这条命令的目的是查看那个出问题的用户'app_user'的详细认证配置。

查询结果返回后,我们重点关注plugin和authentication_string这两列，果然，plugin列显示的是authentication_ldap_simple，这证实了该用户确实使用了LDAP认证，而authentication_string看起来有点奇怪，根据我记忆中的标准格式，它应该类似于"uid=${usernaem},ou=People,dc=company,dc=com"这样的结构，其中不同的部分用逗号分隔，但同事那里的字符串看起来却是一整段没有明显分隔符的文本，或者可能使用了错误的分隔符（比如用了分号但插件只认逗号，或者干脆漏掉了）。

为了确认,我让他找出MySQL的配置文件（通常是my.cnf或my.ini），并检查其中是否有关于LDAP的全局配置项，比如authentication_ldap_simple_开头的参数，全局配置会和用户级别的认证字符串产生冲突或混淆，他检查后反馈说没有这类全局配置，因此问题大概率就锁定在用户自身的authentication_string上。

找到了根本原因,修复方案就清晰了，我们需要修改这个用户的认证字符串，为其添加上正确的分隔符，我指导他执行了类似下面的SQL命令（具体内容根据他们实际的LDAP服务器结构进行了调整）：

ALTER USER 'app_user'@'%' IDENTIFIED WITH authentication_ldap_simple BY '正确的、带有恰当分隔符的LDAP认证字符串';

这里的BY后面的部分，就是新的、符合格式要求的认证字符串，我们确保在每个映射部分之间使用了逗号作为分隔符，并且整个字符串的语法符合LDAP搜索过滤器的规则。

在执行这条修改命令后,我让同事立刻尝试从应用程序端重新连接数据库，我们密切监控MySQL的错误日志，过了一会儿，他兴奋地告诉我，应用程序连接成功了，之前那条恼人的MY-013350错误再也没有出现。

这次远程故障修复的核心教训是：在升级MySQL大版本（尤其是像5.7到8.0这样有显著变化的版本）后，必须仔细检查所有依赖于可插拔认证模块（PAM）的用户配置，特别是像LDAP这样配置格式可能比较敏感的插件，MY-013350错误虽然提示信息很简短，但它精准地指向了配置文件的语法错误，对于这类问题，最有效的排查方法就是直接对比官方文档中的格式要求，逐字逐句地检查authentication_string，确保每一个分隔符都准确无误。