Schritt 4: Liste der sicheren Eingabe- und Ausgabespeicherorte
In diesem Thema werden die Regeln für diese Funktion und das Verschieben der Netzwerkverzeichnisse in die Liste der sicheren Verzeichnisse beschrieben.
Eingangs- und Ausgangsverbindungen für Schemen müssen möglicherweise eine Verbindung zu Datenbanken oder Dateien in den Verzeichnissen Ihres Netzwerks herstellen. Sie müssen die Verzeichnisse, auf die Sie den Zugriff zulassen möchten, in die sichere Liste verschieben. Eingangs- und Ausgangsverbindungen können nur Verbindungen zu Daten herstellen, die sich unter den Speicherorten in der sicheren Liste befinden. Standardmäßig sind keine Verbindungen zulässig.
Hinweis: Sie können die Schemas und alle Daten, die in die Schemadatei (tflx) eingebettet sind, weiterhin in Tableau Server veröffentlichen, aber das Schema kann nur ausgeführt werden, wenn die Verzeichnisse in der sicheren Liste Ihrer Organisation enthalten sind.
So verschieben Sie Eingabe- und Ausgabespeicherorte in die sichere Liste
Beim Konfigurieren dieser Einstellung gelten die folgenden Regeln:
Tableau Server sollte auf die Verzeichnispfade zugreifen können. Diese Pfade werden während des Serverstarts und zur Laufzeit des Schemas überprüft. Beim Veröffentlichen des Schemas in Tableau Server erfolgt keine Überprüfung.
Netzwerkverzeichnispfade müssen absolut sein und dürfen keine Platzhalter oder Symbole zum Durchsuchen des Pfads enthalten. Beispielsweise sind
\\myhost\myShare\*
und\\myhost\myShare*
ungültige Pfade, die dazu führen würden, dass alle Pfade als verboten gelten. Der richtige Weg, um jeden Ordner unter myShare sicher aufzulisten, wäre\\myhost\myShare
oder\\myhost\\myShare\
.Hinweis: Für die Konfiguration
\\myhost\myShare
ist\\myhost\myShare1
nicht zulässig. Wenn Sie diese beiden Ordner in die Liste der sicheren Ordner aufnehmen möchten, geben Sie sie als "\\myhost\myShare"; "\\myhost\myShare1" an.Windows:
Der Wert kann entweder
*
sein, (zum Beispieltsm configuration set -k maestro.input.allowed_paths -v "*"
), um ein beliebiges Netzwerkverzeichnis zu erlauben, oder eine angegebene Liste von Netzwerkverzeichnispfaden, abgegrenzt durch ein Semikolon (;). Wenn Sie eine Liste mit Verzeichnispfaden angeben, müssen Sie bestimmte Verzeichnisse anstelle des Stamms der Dateifreigabe angeben.- Wenn der Pfad Leerzeichen oder Sonderzeichen enthält, müssen Sie entweder einfache oder doppelte Anführungszeichen verwenden. Ob Sie einfache oder doppelte Anführungszeichen verwenden, hängt von der verwendeten Shell ab.
Es sind keine lokalen Pfade zulässig, auch wenn der Wert auf
*
festgelegt ist.Zum Speichern der Schemaausgabe in einer Netzwerkfreigabe müssen Sie zunächst den Schritt zum Konfigurieren eines "Als Benutzer ausführen"(Link wird in neuem Fenster geöffnet)-Dienstkontos in Tableau Server konfigurieren. Sie können Schemata nicht mit dem Standardsystemkonto in einer Netzwerkfreigabe speichern. Konfigurieren Sie dann das Zielverzeichnis auf der Netzwerkfreigabe für die Berechtigungen vom Typ "Volle Kontrolle" für das von Ihnen erstellte Konto "Als Benutzer ausführen".
Je nachdem, wie Ihre Organisation verschachtelte Ordnerberechtigungen verwaltet, müssen Sie möglicherweise zusätzliche Berechtigungen in der Ordnerhierarchie mit einer Mindestberechtigung zum Lesen, Schreiben, Ausführen, Löschen und Auflisten von Ordnern erteilen, um dem Benutzerkonto vom Typ "Als Benutzer ausführen" Zugriff auf den Zielordner zu gewähren.
Linux:
Der Wert kann entweder
*
sein, (zum Beispieltsm configuration set -k maestro.input.allowed_paths -v "*"
) was bedeutet, dass jeder Pfad, einschließlich lokaler (mit Ausnahme mancher Systempfade, die mit „native_api.internal_disallowed_paths“ konfiguriert wurden), oder eine Liste von Pfaden, abgegrenzt durch ein Semikolon (;).Sie müssen eine Kernelversion gleich oder höher als 4.7 verwenden. In Kernel-Versionen vor 4.7 wird das Verschieben in sichere Listen zu oder von einer Netzwerkfreigabe nicht unterstützt. Wenn in früheren Versionen die Ausgabe auf eine Netzwerkfreigabe geschrieben wird, gibt Hyper die Dateien nicht aus, was dazu führt, dass Schemas zur Laufzeit fehlschlagen. Beim Lesen von Eingabedateien von einer Netzwerkfreigabe in früheren Versionen schlagen Schemaausführungen fehl. Geben Sie zum Überprüfen der Kernel-Version im Linux-Terminal den Befehl
uname -r
ein. Dadurch wird die Vollversion des Kernels angezeigt, den Sie auf dem Linux-Computer ausführen. Beachten Sie, dass für Red Hat Enterprise Linux die Kernelversion 4.7 und höher nur mit Red Hat Enterprise Linux Version 8 verfügbar ist.- Zum Speichern der Schemaausgabe in einer Netzwerkfreigabe müssen dem lokalen Linux-Konto, das Zugriff auf Tableau Server-Ressourcen hat, Berechtigungen vom Typ "Volle Kontrolle" für das Zielverzeichnis auf der Netzwerkfreigabe erteilt werden. Wenn ein Pfad sowohl in der Liste mit den zulässigen Schemata als auch in der Liste "internal_disallowed" enthalten ist, hat "internal_disallowed" Vorrang.
Die Bereitstellungspunkte für die von Flows verwendeten Eingabe- und Ausgabepfade müssen mithilfe des Konfigurationsschlüsselsnative_api.unc_mountpoints
konfiguriert werden. Beispiel:tsm configuration set -k native_api.unc_mountpoints -v 'mountpoints'
Informationen zur entsprechenden Konfiguration finden Sie in diesem Artikel der Tableau-Knowledgebase: Tableau Server unter Linux – Herstellen einer Verbindung mit einem freigegebenen Windows-Verzeichnis(Link wird in neuem Fenster geöffnet).
Verwenden Sie die folgenden Befehle, um eine Liste mit zulässigen Netzwerkverzeichnispfaden zu erstellen:
Für Eingangsverbindungen:
tsm configuration set -k maestro.input.allowed_paths -v your_networkdirectory_path_1;your_networkdirectory_path_2
tsm pending-changes apply
Für Ausgangsverbindungen:
tsm configuration set -k maestro.output.allowed_paths -v your_networkdirectory_path_1;your_networkdirectory_path_2
tsm pending-changes apply
Wichtig:
Mit diesen Befehlen werden vorhandene Informationen überschrieben und durch die von Ihnen bereitgestellten neuen Informationen ersetzt. Wenn Sie einer vorhandenen Liste einen neuen Speicherort hinzufügen möchten, müssen Sie eine Liste aller Speicherorte bereitstellen, d. h. der vorhandenen und der hinzuzufügenden. Verwenden Sie die folgenden Befehle, um die aktuelle Liste der Eingabe- und Ausgabespeicherorte anzuzeigen:tsm configuration get -k maestro.input.allowed_paths
tsm configuration get -k maestro.output.allowed_paths
Nächster Schritt
Schritt 5: Optionale Serverkonfigurationen
Wer kann dies tun?
Unter Windows können Mitglieder der Administratorengruppe des lokalen Computers tsm-Befehle ausführen.
Unter Linux können die Mitglieder der Gruppe tsmadmin tsm-Befehle ausführen. Die Gruppe tsmadmin kann über die Einstellung tsm.authorized.groups konfiguriert werden.