Configurer Kerberos
Vous pouvez configurer Tableau Server en vue de l’utilisation de Kerberos. Ceci vous permet de fournir une expérience ne nécessitant qu’une seule ouverture de session (SSO) pour toutes les applications dans votre organisation. Avant de configurer Tableau Server pour Kerberos, assurez-vous que votre environnement est conforme aux Conditions requises pour Kerberos.
Remarque : la délégation contrainte Kerberos pour SSO vers Tableau Server n’est pas prise en charge. (La délégation contrainte pour les sources de données est prise ne charge.) Pour plus d’informations, consultez l’authentification SSO dans les Conditions requises pour Kerberos.
Pour configurer Kerberos, vous devez d’abord activer Kerberos, puis spécifier un fichier keytab à des fins d’authentification de l’utilisateur. Le fichier keytab que vous spécifiez doit être configuré avec le nom du fournisseur de service pour Tableau Server à des fins d’authentification de l’utilisateur. Si vous utilisez l’authentification Kerberos pour les sources de données, vous devez inclure ces informations d’identification dans le fichier keytab unique que vous allez spécifier durant la configuration de Kerberos sur Tableau Server.
Dans le cadre de votre plan de récupération après sinistre, nous vous recommandons de conserver une sauvegarde du fichier keytab dans un emplacement sûr hors de Tableau Server. Le fichier keytab que vous ajoutez à Tableau Server sera stocké et distribué sur d’autres nœuds par le service des fichiers client. Toutefois, le fichier n’est pas stocké dans un format récupérable. Consultez Service des fichiers client Tableau Server.
Ouvrez TSM dans un navigateur :
https://<tsm-computer-name>:8850. Pour plus d’informations, consultez Se connecter à l’interface utilisateur Web Tableau Services Manager.
Cliquez sur Identité de l’utilisateur et accès dans l’onglet Configuration puis cliquez sur Méthode d’authentification.
Sous Méthode d’authentification, sélectionnez Kerberos dans le menu déroulant.
Sous Kerberos, sélectionnez Activer Kerberos pour l’ouverture de session unique (SSO).
Pour copier le fichier keytab sur le serveur, cliquez sur Sélectionner un fichier, et accédez au fichier sur votre ordinateur.
Cliquez sur Enregistrer les modifications en attente après avoir saisi vos informations de configuration.
Cliquez sur Modifications en attente en haut de la page :
Cliquez sur Appliquer les modifications et redémarrer.
Copiez le fichier keytab sur l’ordinateur exécutant Tableau Server et exécutez la commande suivante pour définir les autorisations sur le fichier :
chmod 644 "/path/keytab_file"
Si vous exécutez Tableau Server dans un déploiement de cluster distribué, vous devrez distribuer manuellement le fichier keytab sur chaque nœud, puis définir les autorisations. Copiez le fichier keytab dans le même répertoire sur chaque nœud du cluster. Après avoir copié le fichier keytab sur chaque nœud et défini les autorisations sur le fichier, exécutez les commandes TSM suivantes sur un nœud. La configuration se propage sur chaque nœud.
Entrez la commande suivante pour spécifier l’emplacement et le nom du fichier keytab :
tsm authentication kerberos configure --keytab-file <path-to-keytab_file>
Entrez la commande suivante pour activer Kerberos :
tsm authentication kerberos enable
Exécutez
tsm pending-changes apply
pour appliquer les modifications.Si les modifications en attente nécessitent un redémarrage du serveur, la commande
pending-changes apply
affichera une invite pour vous informer qu’un redémarrage va avoir lieu. Cette invite s’affiche même si le serveur est arrêté, mais dans ce cas, il n’y a pas de redémarrage. Vous pouvez supprimer l’invite à l’aide de l’option--ignore-prompt
, mais cela ne modifiera pas le comportement de redémarrage. Si les modifications ne nécessitent pas de redémarrage, les modifications sont appliquées sans invite. Pour plus d’informations, consultez tsm pending-changes apply.
Confirmer votre configuration SSO
Après avoir redémarré Tableau Server, testez votre configuration Kerberos depuis un navigateur Web installé sur un autre ordinateur en tapant le nom de Tableau Server dans la fenêtre URL :
Vous devez être automatiquement authentifié dans Tableau Server.