Authentification basée sur PAM dans Tableau Resource Monitoring Tool (RMT)

S’applique à : Tableau Advanced Management

Depuis la version 2025.2, l’authentification basée sur PAM pour les utilisateurs délégués a été ajoutée. Les clients peuvent ainsi mettre en œuvre une logique d’authentification personnalisée si nécessaire.

Auparavant, RMT dépendait uniquement de su pour l’authentification déléguée des utilisateurs. Cela pouvait entraîner des incohérences en cas de différence de politiques d’authentification Linux sous-jacentes entre Tableau Server et RMT. En ajoutant la prise en charge de PAM, RMT s’aligne sur le flux d’authentification de Tableau Server, offrant davantage de flexibilité et de contrôle.

RMT utilise l’authentification locale (mots de passe spécifiques à RMT) ou déléguée (identifiants basés sur le système d’exploitation) pour l’accès des utilisateurs. L’authentification déléguée, quant à elle, exige que les utilisateurs fournissent leur mot de passe réseau standard pour la connexion. L’authentification est configurée sur le Serveur RMT via son interface Web ou l’outil de ligne de commande rmtadmin. Des utilisateurs peuvent alors être ajoutés ou leurs modes d’authentification existants modifiés. Une configuration appropriée consiste à s’assurer que username est correctement saisi (sans domaine pour l’authentification déléguée) et que des rôles de Serveur RMT corrects sont attribués aux utilisateurs. Pour plus d’informations sur les rôles de serveur, consultez Gérer les utilisateurs et l’authentification dans Tableau Resource Monitoring Tool (RMT).

Fonctionnement de l’authentification basée sur PAM dans RMT

Lorsque RMT authentifie un utilisateur délégué, il suit le même flux d’authentification que Tableau Server :

  1. Service PAM personnalisé (Tableau)

    RMT tente d’abord d’authentifier l’utilisateur à l’aide d’un service PAM personnalisé appelé tableau, s’il est présent à l’adresse :

    /etc/pam.d/tableau

    Les clients peuvent ainsi définir leurs propres politiques d’authentification.

  2. Service de connexion PAM par défaut

    Si le service Tableau n’est pas défini, RMT revient à l’utilisation du service de connexion PAM standard pour l’authentification.

  3. Authentification basée sur su

    Si les deux tentatives PAM échouent, RMT tentera finalement de s’authentifier à l’aide de su.

    Il s’agit de la méthode d’authentification par défaut dans les versions antérieures à 2025.2. Elle reste valide pour assurer la rétrocompatibilité avec les versions RMT antérieures et les environnements existants.

Comment activer l’authentification basée sur PAM dans RMT

L’authentification basée sur PAM dans RMT exige que les conditions préalables suivantes soient remplies :

  1. 1. Installer pamtester

    RMT utilise pamtester pour effectuer une authentification PAM non interactive.

    Debian/Ubuntu :

    sudo apt install pamtester

    RHEL/CentOS :

    sudo yum install pamtester

  2. Définir les modèles d’autorisations pour pamtester

    Le fichier binaire pamtester doit disposer des autorisations appropriées pour permettre l’authentification :

    sudo chown root:root /usr/bin/pamtester
    sudo chmod u+s /usr/bin/pamtester

    L’autorisation setuid (u+s) garantit que pamtester peut lire /etc/shadow, ce dont la plupart des modules PAM ont besoin pour passer les contrôles de mot de passe.

Mise en œuvre d’un service PAM personnalisé (facultatif)

Si vous souhaitez implémenter votre propre logique d’authentification personnalisée, vous pouvez définir un service PAM nommé tableau :

 /etc/pam.d/tableau
Retour en haut
Merci de vos commentaires !Avis correctement envoyé. Merci