Introducción a Tableau Services Manager

En este artículo se proporciona una descripción general de Tableau Services Manager (TSM), que puede usar para configurar y administrar Tableau Server. La interfaz de línea de comandos (CLI) de TSM se incluyó por primera vez con Tableau Server en Linux, versión 10.5. La interfaz de usuario web de TMS está disponible desde la versión 2018.2.

Funcionalidad

TSM proporciona a los administradores de servidores opciones basadas en web y de línea de comandos para configurar y mantener Tableau Server, por ejemplo, para realizar tareas administrativas como realizar copias de seguridad de los datos del servidor, restaurar copias de seguridad, crear archivos de registro y administrar clústeres de varios nodos. Por ejemplo, se usa TSM para realizar las siguientes tareas:

  • Configuración inicial de Tableau Server tras la instalación
  • Administración continua de la configuración (por ejemplo, editar los ajustes o cambiar la topología de servidores)
  • Ejecución de tareas administrativas (copias de seguridad, restauraciones, ziplogs, etc.)

En lo que respecta a los administradores que estuvieran familiarizados con versiones anteriores de Tableau Server, TSM sustituye a las siguientes herramientas de versiones previas de Tableau Server:

  • Utilidad de configuración de Tableau Server
  • Utilidad de línea de comandos tabadmin
  • Tableau Server Monitor

Componentes

TSM se compone de servicios (llamados procesos en esta documentación) y clientes. Los procesos de TSM son servicios administrativos que administran los procesos de Tableau Server. Los procesos de TSM se ejecutan de forma continua tras el arranque de TSM, aunque los demás componentes de Tableau Server no tengan conexión.

Entre los procesos de TSM que se ejecutan, incluso si Tableau Server está detenido se incluyen:

  • Agente de administración
  • Controlador de administración
  • Servicio de archivo de cliente
  • Servicio de coordinación (basado en Apache Zookeeper™)
  • Administrador de servicios
  • Servicio de licenciamiento

Para obtener más información sobre los procesos de TSM y Tableau Server, consulte Procesos de Tableau Server.

Autenticación TSM

Independientemente de si emplea la interfaz de usuario web, la interfaz de línea de comandos o la API de TSM, tiene que autenticarse en Tableau Server para poder llevar a cabo tareas administrativas. Esta cuenta de usuario es distinta de las cuentas de usuario de Tableau Server, incluidos los administradores de Tableau Server y los administradores de sitio.

TSM delega la autenticación de usuarios al sistema operativo subyacente. En Linux, esto significa que la autenticación se controle mediante mecanismos PAM (Pluggable Authentication Modules). PAM es el estándar en todas las distribuciones de Linux en las que se admite Tableau Server. Si su organización ha configurado PAM para autenticarse con su servicio de directorio (Active Directory, LDAP), puede autorizar a cualquier usuario del servicio de directorio para que acceda a TSM. En esta situación, cualquier usuario autenticado de PAM que sea miembro del grupo tsmadmin está autorizado para acceder a TSM.

En la versión 2019.1, el proceso de autenticación de TSM usa PAM directamente y luego vuelve a un sistema de autenticación mediante substitute user (su) si PAM falla o no está configurado con un servicio de directorio. Si PAM no está configurado con un servicio de directorio, las cuentas locales deben gestionarse en el equipo Linux. En estos casos, TSM usará el método de autenticación su: pasará las credenciales proporcionadas por el usuario para ejecutar el comando true en el directorio /bin. Si el comando se ejecuta correctamente, se verifica la autenticación. Por tanto, si el usuario es miembro del grupo tsmadmin, se permite al usuario autenticado acceder a TSM.

Definición del servicio PAM personalizado

TSM usa el servicio estándar login de PAM para la autenticación. Puede personalizar más el comportamiento de la autenticación de TSM creando un archivo de servicio PAM tableau en /etc/pam.d. Si este archivo existe, se consultará en lugar del servicio de inicio de sesión de PAM.

Grupo de autorización de TSM

La autenticación en TSM debe realizarse con un usuario que exista en el equipo de Tableau Server. Esta cuenta de usuario de TSM debe utilizar una autenticación con contraseña. De forma predeterminada, la cuenta de usuario de TSM debe formar parte del grupo tsmadmin en el equipo donde se ejecuta Tableau Server. Como alternativa, puede especificar un grupo de autorización diferente para la administración de TSM. Para especificar un grupo predeterminado diferente durante el proceso de instalación, consulte Resultado de ayuda para el script initialize-tsm. Para especificar un grupo de autorizaciones diferente después de instalar Tableau Server, consulte Configurar un grupo de administración de TSM personalizado.

Conectar clientes de TSM

Como medida de seguridad, solo puede conectarse a TSM con clientes (interfaz de línea de comandos, interfaz de usuario web, API de REST, etc.) a través de HTTPS, dado que TSM le permite realizar tareas administrativas y conectarse a TSM desde otros equipos.

Si se conecta con un cliente de TSM, debe conectarse a la instancia de Tableau Server que ejecute el servicio Controlador de administración de TSM.

Como práctica recomendada de seguridad, no exponga el puerto TSM (de manera predeterminada, 8850) a Internet.

Nota: La herramienta de interfaz de línea de comandos de TSM no requiere credenciales de administrador en algunos casos. Concretamente, si la cuenta en la que ha iniciado sesión e miembro del grupo autorizado por TSM, no es necesario proporcionar credenciales para ejecutar comandos al ejecutar la interfaz de línea de comandos de TSM localmente. Para obtener más información, consulte Autenticación con la interfaz de línea de comandos de tsm.

Las conexiones HTTPS de TSM se basan en un certificado autofirmado generado por el instalador de Tableau Server. Este es el certificado de CA de instalación de Tableau que firma los certificados SSL que Tableau crea para cifrar el tráfico a través de HTTP. El certificado de CA de instalación de Tableau debe estar definido como de confianza en los sistemas que se conecten al Controlador de administración de TSM.

El cliente de la interfaz de línea de comandos de TSM valida la confianza del certificado desde un almacén distinto al usado por la interfaz de usuario web de TSM. El cliente de la interfaz de línea de comandos de TSM se refiere al almacén de confianza en el almacén de claves de Java para validar la confianza de los certificados de CA. Dado que la interfaz de usuario web de TSM debe establecer una conexión con un navegador web, la confianza se valida con el almacén de claves de confianza del sistema operativo. La diferencia en cómo se almacenan los certificados de CA determina los distintos casos de configuración de confianza, como se resalta aquí:

  • Para las comunicaciones de la interfaz de línea de comandos TSM en Tableau Server, la confianza de certificados se configura de forma predeterminada como parte de los procesos de instalación, arranque del nodo y actualización. El certificado de CA de instalación de Tableau se añade al almacén de confianza en el almacén de claves de Java. Esto le permite acceder a TSM mediante la interfaz de línea de comandos desde cualquier equipo en el clúster sin configuración adicional. Sin embargo, al acceder a la interfaz de usuario web de TSM, el navegador le pedirá que confirme la confianza en el host que ejecuta el servicio Controlador de administración de TSM.
  • En las conexiones de la interfaz de línea de comandos de TSM desde equipos remotos, se le pedirá que confirme la confianza en el certificado de CA de instalación de Tableau la primera vez que se conecte a la instancia de Tableau Server que ejecuta el Controlador de administración de TSM. Puede elegir si desea confiar en el certificado de CA, en cuyo caso no se le volverá a pedir confirmación en ese equipo hasta que caduque el certificado (tres años de forma predeterminada). También puede conectarse mediante una sesión de confianza de un solo uso ejecutando el comando de TSM con la opción --trust-admin-controller-cert.
  • Para las conexiones de la interfaz de usuario web de TSM desde equipos remotos, el navegador le pedirá que confirme la confianza en el host que ejecuta el servicio Controlador de administración de TSM.
¡Gracias por sus comentarios!Sus comentarios se han enviado correctamente. ¡Gracias!