Konfigurieren von Kerberos
Sie können Tableau Server für die Verwendung von Kerberos konfigurieren. Dies ermöglicht Ihnen, eine Single Sign-on-Umgebung (SSO) für alle Anwendungen in Ihrer Organisation bereitzustellen. Bevor Sie Tableau Server für Kerberos konfigurieren, stellen Sie sicher, dass Ihre Umgebung die Kerberos-Anforderungen erfüllt.
Hinweis: Die eingeschränkte Kerberos-Delegierung für SSO zu Tableau Server wird nicht unterstützt. (Die eingeschränkte Delegierung für Datenquellen wird unterstützt). Weitere Informationen finden Sie unter "Single-Sign On (SSO)" in Kerberos-Anforderungen.
Um Kerberos zu konfigurieren, müssen Sie Kerberos zunächst aktivieren und dann eine keytab-Datei zur Benutzerauthentifizierung festlegen. Die angegebene keytab-Datei muss mit dem Namen des Internetanbieters für Tableau Server konfiguriert sein, um die Benutzerauthentifizierung zu ermöglichen. Wenn Sie die Kerberos-Authentifizierung für Datenquellen verwenden, sollten diese Anmeldeinformationen in der keytab-Datei enthalten sein, die Sie bei der Kerberos-Konfiguration auf Tableau Server angeben.
Als Teil Ihres Disaster Recovery-Plans wird empfohlen, eine Sicherung der Keytab-Datei an einem sicheren Speicherort außerhalb von Tableau Server aufzubewahren. Die Keytab-Datei, die Sie Tableau Server hinzufügen, wird vom Client-Dateidienst gespeichert und an andere Knoten verteilt. Die Datei wird jedoch nicht in einem wiederherstellbaren Format gespeichert. Siehe Tableau Server-Clientdateidienst.
Öffnen Sie TSM in einem Browser:
https://<tsm-computer-name>:8850. Weitere Informationen finden Sie unter Anmelden bei der Webschnittstelle von Tableau Services Manager.
Klicken Sie auf der Registerkarte Konfiguration auf Benutzeridentität und Zugriff und dann auf Authentifizierungsmethode.
Wählen Sie im Dropdown-Menü unter Authentifizierungsmethode die Option Kerberos aus.
Wählen Sie unter "Kerberos" die Option Kerberos für Single Sign-on (SSO) aktivieren aus.
Klicken Sie zum Kopieren der keytab-Datei auf den Server auf Datei auswählen und navigieren Sie auf Ihrem Computer zu dieser Datei.
Klicken Sie nach der Eingabe Ihrer Konfigurationsdaten auf Ausstehende Änderungen speichern.
Klicken Sie oben auf der Seite auf Ausstehende Änderungen:
Klicken Sie auf Änderungen anwenden und neu starten.
Kopieren Sie die keytab-Datei auf den Computer, auf dem Tableau Server ausgeführt wird. Führen Sie anschließend den folgenden Befehl aus, um die Berechtigungen für die Datei festzulegen:
chmod 644 "/path/keytab_file"
Wenn Sie Tableau Server in einer verteilten Cluster-Bereitstellung ausführen, müssen Sie die keytab-Datei auf jedem Knoten manuell verteilen und dann die Berechtigungen festlegen. Kopieren Sie die keytab-Datei in das gleiche Verzeichnis auf jedem Knoten im Cluster. Führen Sie nach dem Kopieren der keytab-Datei auf jeden Knoten und nach dem Festlegen der Berechtigungen für jede Datei die folgenden TSM-Befehle auf den jeweiligen Knoten aus. Die Konfiguration wird auf jeden Knoten propagiert.
Geben Sie folgenden Befehl ein, um den Speicherort und den Namen der keytab-Datei anzugeben:
tsm authentication kerberos configure --keytab-file <path-to-keytab_file>
Geben Sie den folgenden Befehl ein, um Kerberos zu aktivieren:
tsm authentication kerberos enable
Führen Sie
tsm pending-changes apply
aus, um die Änderungen zu übernehmen.Wenn die ausstehenden Änderungen einen Neustart des Servers erfordern, zeigt der Befehl
pending-changes apply
eine Meldung an, um Sie darüber zu informieren, dass ein Neustart stattfinden wird. Diese Meldung wird auch angezeigt, wenn der Server angehalten ist. In diesem Fall erfolgt jedoch kein Neustart. Sie können diese Meldung mithilfe der Option--ignore-prompt
unterdrücken, dies ändert jedoch nichts an dem Neustartverhalten. Wenn die Änderungen keinen Neustart erfordern, werden die Änderungen ohne Meldung angewendet. Weitere Informationen finden Sie unter tsm pending-changes apply.
Bestätigen Ihrer SSO-Konfiguration
Wenn Tableau Server erneut gestartet wurde, testen Sie die Kerberos-Konfiguration in einem Webbrowser auf einem anderen Computer, indem Sie den Namen des Tableau Server im URL-Fenster eingeben:
Sie sollten automatisch bei Tableau Server authentifiziert werden.