Übersicht zu Tableau Services Manager
Dieser Artikel enthält eine Übersicht über Tableau Services Manager (TSM), den Sie zum Konfigurieren und Verwalten von Tableau Server verwenden können.
Funktionalität
Mit TSM verfügen Serveradministratoren über Befehlszeilenoptionen und webbasierte Optionen zum Konfigurieren und Warten von Tableau Server, einschließlich der Ausführung administrativer Aufgaben wie des Sicherns von Serverdaten, des Wiederherstellen von Sicherungen, des Erstellens von Protokollarchiven und des Verwaltens von Clustern mit mehreren Knoten. TSM verwenden Sie beispielsweise zum Ausführen der folgenden Aufgaben:
- Erste Konfiguration von Tableau Server nach der Installation
- Fortlaufende Konfigurationsverwaltung, einschließlich der Bearbeitung von Einstellungen und der Änderung der Servertopologie
- Ausführen von administrativen Aufgaben wie "backup", "restore", "ziplogs"
Für Administratoren, die sich mit früheren Versionen von Tableau Server auskennen: TSM ersetzt die folgenden Tools aus vorherigen Tableau Server-Versionen:
- Tableau Server-Konfigurationsdienstprogramm
- tabadmin-Befehlszeilenprogramm
- Tableau Server-Monitor
Komponenten
TSM beinhaltet Dienste (in dieser Dokumentation als Prozesse bezeichnet) und Clients. TSM-Prozesse sind administrative Dienste, über die Tableau Server-Prozesse verwaltet werden. TSM-Prozesse werden durchgehend ausgeführt, nachdem TSM initialisiert wurde, selbst wenn der Rest von Tableau Server offline ist.
Zu den TSM-Prozessen, die auch dann ausgeführt werden, wenn Tableau Server angehalten wurde, zählen:
- Administration Agent
- Administration Controller
- Clientdateidienst
- Koordinationsdienst (basiert auf Apache Zookeeper™)
- Service Manager
- Lizenzierungsdienst
Weitere Informationen zu TSM-Prozessen und Tableau Server-Prozessen finden Sie unter Tableau Server-Prozesse.
TSM-Authentifizierung
Unabhängig davon, ob Sie die TSM-Webschnittstelle, die TSM-Befehlszeile oder die TSM-API verwenden, müssen Sie sich bei Tableau Server authentifizieren, bevor Sie Verwaltungsaufgaben ausführen können. Dieses Benutzerkonto unterscheidet sich von Tableau Server-Benutzerkonten, einschließlich Tableau Server-Administratoren und -Site-Administratoren.
TSM delegiert die Authentifizierung der Benutzer an das zugrunde liegende Betriebssystem. Unter Linux erfolgt die Authentifizierung daher über Pluggable Authentication Modules (PAM). PAM ist Standard auf allen Linux-Distributionen, die Tableau Server unterstützen. Wenn Ihr Unternehmen PAM so konfiguriert hat, dass die Authentifizierung über Ihren Verzeichnisdienst (Active Directory, LDAP) erfolgt, können Sie jeden Benutzer über diesen Verzeichnisdienst für den Zugriff auf TSM autorisieren. In diesem Szenario ist jeder authentifizierte PAM-Benutzer, der Mitglied der Gruppe tsmadmin
ist, für den Zugriff auf TSM autorisiert.
In Version 2019.1 greift der TSM-Authentifizierungsprozess direkt auf PAM zu. Nur wenn PAM fehlschlägt oder nicht mit einem Verzeichnisdienst konfiguriert ist, greift der Prozess mit substitute user (su
) auf ein Authentifizierungsschema zurück. Wenn PAM mit keinem Verzeichnisdienst konfiguriert ist, müssen lokale Konten auf dem Linux-Computer verwaltet werden. In diesem Fall verwendet TSM die su
-Methode der Authentifizierung und übergibt die vom Benutzer bereitgestellten Anmeldedaten zur Ausführung des Befehls true
im Verzeichnis /bin. Bei erfolgreicher Ausführung dieses Befehls gilt die Authentifizierung als verifiziert. Unter der Voraussetzung, dass der authentifzierte Benutzer auch Mitglied der Gruppe tsmadmin
ist, erhält er Zugriff auf TSM.
Benutzerdefinierte PAM-Dienstdefinition
TSM verwendet zur Authentifizierung den standardmäßigen PAM-Anmeldedienst. Das Verhalten der TSM-Authentifizierung können Sie jedoch mit einer tableau
-Datei für den PAM-Dienst im Verzeichnis /etc/pam.d
anpassen. Wenn diese Datei vorhanden ist, wird sie anstelle des PAM-Anmeldedienstes abgefragt.
TSM-Autorisierungsgruppe
Sie authentifizieren sich bei TSM als ein auf dem Tableau Server-Computer vorhandener Benutzer. Das TSM-Benutzerkonto muss die kennwortbasierte Authentifizierung verwenden. Standardmäßig muss das TSM-Benutzerkonto Mitglied der Gruppe tsmadmin
auf dem Computer sein, auf dem Tableau Server ausgeführt wird. Alternativ können Sie eine andere Autorisierungsgruppe für die TSM-Verwaltung angeben. Informationen zum Angeben einer anderen Standardgruppe während des Installationsvorgangs finden Sie unter Hilfe-Ausgabe für das Skript initialize-tsm. Informationen zum Angeben einer anderen Autorisierungsgruppe nach der Installation von Tableau Server finden Sie unter Konfigurieren einer benutzerdefinierten TSM-Verwaltungsgruppe.
Verbinden von TSM-Clients
Aus Sicherheitsgründen können Sie von Clients – egal ob über die Befehlszeilenschnittstelle, die Webschnittstelle oder die REST-API – eine Verbindung zu TSM nur über HTTPS herstellen. da Sie mit TSM Verwaltungsaufgaben vornehmen und über andere Computer eine Verbindung zu TSM herstellen können.
Eine Verbindung von einem TSM-Client müssen Sie mit der Tableau Server-Instanz herstellen, auf der der TSM-Dienst Administration Controller ausgeführt wird.
Aus Sicherheitsgründen sollten Sie darauf achten, dass nicht über das Internet auf den TSM-Port zugegriffen werden kann (standardmäßig 8850
).
Hinweis: Das TSM-CLI-Tool erfordert in einigen Szenarien keine Administratoranmeldeinformationen. Wenn das Konto, unter dem Sie angemeldet sind, Mitglied der Gruppe TSM-authorized ist, müssen Sie keine Anmeldeinformationen angeben, um Befehle beim Ausführen von tsm CLI lokal auszuführen. Weitere Informationen finden Sie unter Authentifizierung mit tsm CLI.
HTTPS-Verbindungen mit TSM beruhen auf einem selbstsignierten Zertifikat, das vom Tableau Server-Installationsprogramm erstellt wird. Dieses Zertifikat ist das CA-Zertifikat der Tableau-Installation, das die von Tableau für die Verschlüsselung des Datenverkehrs über HTTP erstellten SSL-Zertifikate signiert. Diesem vom Tableau-Installer erstellten CA-Zertifikat müssen die Systeme, die eine Verbindung mit TSM Administration Controller herstellen, vertrauen.
Ein TSM-Befehlszeilenclient validiert die Vertrauenswürdigkeit eines Zertifikats jedoch mit einem anderen Speicher als die TSM-Webschnittstelle. Der TSM CLI-Client verweist auf den vertrauenswürdigen Speicher im lokalen Java-Schlüsselspeicher, um das Vertrauen für CA-Zertifikate zu bestätigen. Da die TSM Web-Benutzeroberfläche eine Verbindung mit einem Webbrowser herstellen muss, wird das Vertrauen mit dem vertrauenswürdigen Schlüsselspeicher des Betriebssystems überprüft. Wie nachfolgend beschrieben, bestimmen die Unterschiede in der Speicherung der CA-Zertifkate auch die Art des Vertrauenskonfigurationsszenarios:
- Für die Kommunikation über die TSM-Befehlszeilenschnittstelle von Tableau Server wird die Vertrauenswürdigkeit von Zertifikaten standardmäßig bei der Installation, durch die Knoten-Bootstrap wie auch durch Upgrade-Prozesse konfiguriert. Das CA-Zertifikat der Tableau-Installation wird dem vertrauenswürdigen Speicher im Java-Schlüsselspeicher hinzugefügt. Der Zugriff auf TSM über die Befehlszeilenschnittstelle ist daher von jedem Computer im Cluster ohne zusätzliche Konfiguration möglich. Beim Zugriff über die TSM-Webschnittstelle werden Sie dagegen vom Browser gefragt, ob Sie dem Host, auf dem der TSM Administration Controller-Dienst ausgeführt wird, vertrauen.
- Bei Verbindungen über die TSM-Befehlszeilenschnittstelle von fernen Computern werden Sie bei der erstmaligen Verbindung mit dem Tableau Server, auf dem der TSM Administration Controller ausgeführt wird, gefragt, ob Sie dem CA-Zertifikat der Tableau-Installation vertrauen. Hier haben Sie die Möglichkeit, dem CA-Zertifikat zu vertrauen, in welchem Fall Sie auf diesem Computer vor Ablauf des Zertifikats (standardmäßig nach 3 Jahren) nicht mehr nach der Vertrauenswürdigkeit gefragt werden. Durch Angabe des Flags
--trust-admin-controller-cert
in Ihrem TSM-Befehl können Sie sich aber auch nur mit einer einmalig gültigen Zustimmung verbinden. - Bei Verbindungen über die TSM-Webschnittstelle von fernen Computern, werden Sie vom Browser gefragt, ob Sie dem Host, auf dem der TSM Administration Controller-Dienst ausgeführt wird, vertrauen.