Что лучший способ состоит в том, чтобы управлять доступом на уровне MySQL Client?
Это - просто предположение, но можете Вы помещать это в .htaccess файл, минус <Location> и </Location> теги, в/trac/login каталоге?
Кроме того, убедиться иметь Ваш htpasswd файл вне корня документа (обычно public_html) иначе это может быть загружено и взломано.
Нет никакого смысла, помещая управление доступом на клиент командной строки; любой, кто хочет повредить Вашу базу данных, может тривиально избегать использования CLI.
MySQL действительно имеет способность зарегистрировать все запросы наряду с именем пользователя, кто выпустил его, но это не особенно хорошая идея включить его в производственных системах, поскольку это делает неприятные вещи к производительности (много диска IO сгенерировано путем записи каждого запроса в диск).
Наконец, насколько LDAP (или другой внешний автор) идет, MySQL в большой степени испачкан в своем собственном небольшом мире аутентификации; это - что-то, что раньше прослушивало дерьмо из меня, но я приехал для принятия его как только одна из тех вещей, которые делают базы данных.
Я просто стараюсь не позволять людям играть на производственных базах данных без взрослого контроля. Сумма повреждения производственной деятельности, которую полный благих намерений дурак может сделать с плохо рассмотренным запросом, значительна. Да, разработчикам не нравится он, и не, я не забочусь.