Authentification basée sur des PAM dans Tableau Resource Monitoring Tool (RMT)

S’applique à : Tableau Advanced Management

L’authentification basée sur les PAM pour les utilisateurs délégués a été ajoutée à la version 2025.2. Cela permet aux clients qui en ont besoin de mettre en œuvre une logique d’authentification personnalisée.

Auparavant, RMT dépendait uniquement de su pour l’authentification déléguée des utilisateurs, ce qui pouvait entraîner des incohérences si les stratégies d’authentification Linux sous-jacentes n’étaient pas les même chez Tableau Server et RMT. En ajoutant la prise en charge de PAM, RMT s’aligne sur le flux d’authentification de Tableau Server, offrant plus de flexibilité et de contrôle.

RMT utilise l’authentification locale (mots de passe spécifiques à RMT) ou déléguée (identifiants basés sur le système d’exploitation) pour l’accès des utilisateurs, l’authentification déléguée exigeant que les utilisateurs fournissent leur mot de passe réseau standard pour la connexion. L’authentification est configurée sur le Serveur RMT via son interface Web ou l’outil de ligne de commande rmtadmin qui permettent d’ajouter des utilisateurs ou de modifier les modes d’authentification existants. Pour une bonne configuration, il est important de s’assurer que le username est correctement saisi (sans domaine pour l’authentification déléguée) et que les rôles de serveur RMT appropriés sont attribués aux utilisateurs. Pour plus d’informations sur les rôles de serveur, consultez Gérer les utilisateurs et l’authentification dans Tableau Resource Monitoring Tool (RMT).

Fonctionnement de l’authentification basée sur PAM dans RMT

Lorsque RMT authentifie un utilisateur délégué, il suit le même flux d’authentification que Tableau Server :

  1. Service PAM personnalisé (Tableau)

    RMT tente d’abord d’authentifier l’utilisateur à l’aide d’un service PAM personnalisé appelé tableau, si celui-ci est présent à XXl’adresse :

    /etc/pam.d/tableau

    Cela permet aux clients de définir leurs propres stratégies d’authentification.

  2. Service de connexion PAM par défaut

    Si le service Tableau n’est pas défini, RMT utilisera le service de connexion PAM standard pour l’authentification.

  3. Authentification basée sur su

    Si les deux tentatives d’authentification avec PAM échouent, RMT tentera finalement de s’authentifier à l’aide de su.

    Il s’agit de la méthode d’authentification par défaut des versions antérieures à 2025.2 et elle reste valide pour assurer la rétrocompatibilité avec les versions RMT antérieures et les environnements existants.

Comment activer l’authentification basée sur PAM dans RMT

Pour utiliser l’authentification basée sur PAM dans RMT, les conditions suivantes doivent être remplies :

  1. 1. Installer pamtester

    RMT utilise pamtester pour effectuer une authentification PAM non interactive.

    Debian/Ubuntu :

    sudo apt install pamtester

    RHEL/CentOS :

    sudo yum install pamtester

  2. Définir les autorisations pour pamtester

    Le pamtester binaire doit disposer des autorisations appropriées pour permettre l’authentification :

    sudo chown root:root /usr/bin/pamtester
    sudo chmod u+s /usr/bin/pamtester

    L’autorisation setuid (u+s) garantit que pamtester peut lire /etc/shadow, ce qui est nécessaire pour permettre à la plupart des modules PAM d’effectuer les vérifications de mot de passe.

Mettre en œuvre un service PAM personnalisé (facultatif)

Si vous souhaitez mettre en œuvre votre propre logique d’authentification personnalisée, vous pouvez définir un service PAM nommé tableau:

 /etc/pam.d/tableau
Retour en haut
Merci de vos commentaires!Votre commentaire s été envoyé avec succès. Merci!