Présentation de Tableau Services Manager
Cet article présente une vue d’ensemble de l’interface Tableau Services Manager (TSM) que vous pouvez utiliser pour configurer et administrer Tableau Server.
Fonctionnalités
TSM fournit aux administrateur de serveur des options de lignes de commande et basées sur le Web pour configurer et gérer Tableau Server, notamment pour l’exécution de tâches administratives telles que la sauvegarde des données serveur, la restauration des sauvegardes, la création d’archives de journaux et la gestion des clusters multinœud. Par exemple, vous utilisez TSM pour réaliser les tâches suivantes :
- Configuration initiale de Tableau Server après l’installation
- Gestion permanente des configurations, notamment la modification des paramètres et de la topologie des serveurs
- Exécution de tâches administratives telles que sauvegarde, restauration et ziplogs
Pour les administrateurs familiers des versions précédentes de Tableau Server, TSM remplace les outils suivants des versions précédentes de Tableau Server :
- Utilitaire de configuration de Tableau Server
- Utilitaire de ligne de commande tabadmin
- Tableau Server Monitor
Composants
TSM consiste en des services (appelés processus dans cette documentation) et de clients. Les processus TSM sont des services administratifs qui gèrent les processus Tableau Server. Les processus TSM s’exécutent en continu après l’initialisation de TSM, même lorsque le reste de Tableau Server est hors ligne.
Les processus TSM qui s’exécutent même lorsque Tableau Server est arrêté incluent :
- Agent d’administration
- Contrôleur d’administration
- Service des fichiers client
- Service de coordination (basé sur Apache Zookeeper™)
- Gestionnaire de services
- Service de licence
Pour plus d’informations sur les processus TSM et les processus Tableau Server, consultez Processus Tableau Server.
Authentification TSM
Que vous utilisez l’interface utilisateur Web TSM, l’interface en ligne de commande ou l’API TSM, vous devez vous authentifier sur Tableau Server avant de pouvoir exécuter des tâches administratives. Ce compte utilisateur est distinct des comptes utilisateur de Tableau Server, y compris les administrateurs Tableau Server et les administrateurs de site.
TSM délègue l’authentification des utilisateurs au système d’exploitation sous-jacent. Sur Linux, cela signifie que l’authentification est gérée via les modèles PAM (Pluggable Authentication Modules, ou modules d’authentification enfichables). Le module PAM est la norme sur toutes les distributions Linux sur lesquelles Tableau Server est pris en charge. Si votre entreprise a configuré PAM pour l’authentification avec votre service de répertoire (Active Directory, LDAP), vous pouvez autoriser tout utilisateur de ce service de répertoire à accéder à TSM. Dans ce scénario, tout utilisateur PAM authentifié qui est membre du groupe tsmadmin
est autorisé à accéder à TSM.
Dans la version 2019.1, le processus d’authentification TSM utilise PAM directement puis revient à un modèle d’authentification utilisant un utilisateur de substitution (su
) si PAM échoue ou n’est pas configuré avec un service de répertoire. Si PAM n’est pas configuré avec un service de répertoire, les comptes locaux doivent être gérés sur l’ordinateur Linux. Dans ces cas, TSM utilise la méthode d’authentification su
avec transmission des informations d’identification fournies par l’utilisateur pour exécuter la commande true
dans le répertoire /bin. Si cette commande réussit, l’authentification est vérifiée. Ainsi, si l’utilisateur appartient au groupe tsmadmin
, l’utilisateur authentifié est autorisé à accéder à TSM.
Personnaliser la définition du service PAM
TSM utilise le service de connexion PAM standard pour l’authentification. Vous pouvez personnaliser le comportement d’authentification TSM en créant un fichier de service PAM tableau
dans /etc/pam.d
. Si ce fichier existe, il sera consulté au lieu du service de connexion PAM.
Groupe d’autorisations TSM
Vous vous authentifiez sur TSM avec un utilisateur qui existe sur l’ordinateur Tableau Server. Le compte utilisateur TSM doit utiliser l’authentification basée sur un mot de passe. Par défaut, le compte utilisateur TSM doit être membre du groupe sur l’ordinateur tsmadmin
où Tableau Server est en cours d’exécution. Vous pouvez également spécifier un groupe d’autorisations différent pour l’administration TSM. Pour spécifier un groupe par défaut différent pendant le processus d’installation, consultez Résultat de l’aide pour le script initialize-tsm. Pour spécifier un groupe d’autorisations différent après avoir installé Tableau Server, consultez Configurer un groupe d’administration TSM personnalisé.
Connexion des clients TSM
Une mesure de sécurité consiste à vous connecter à TSM uniquement avec des clients (interface en ligne de commande, interface utilisateur Web, API Rest) sur HTTPS. En effet, TSM vous permet d’effectuer des tâches administratives et de vous connecter à TSM depuis d’autres ordinateurs.
Lorsque vous vous connectez avec un client TSM, vous devez vous connecter à l’instance Tableau Server qui exécute le service du contrôleur d’administration TSM.
En tant que meilleure pratique de sécurité, n’exposez pas le port TSM (par défaut, 8850
) sur Internet.
Remarque : l’outil d’interface en ligne de commande TSM ne requiert pas les informations d’identification d’administration dans certains cas. Plus spécifiquement, si le compte sous lequel vous êtes connecté appartient au groupe agréé TSM, vous n’avez pas besoin de fournir les informations d’identification pour exécuter des commandes lors de l’exécution de l’interface en ligne de commande TSM localement. Pour plus d’informations, consultez Authentification avec l’interface en ligne de commande tsm.
Les connexions HTTPS TSM se basent sur un certificat autosigné généré par le programme d’installation de Tableau Server. Ce certificat est le certificat d’autorité de certification (CA) de l’installation Tableau. Il signe les certificats SSL que Tableau créer pour crypter le trafic sur HTTP. Le certificat CA de l’installation Tableau doit être approuvé par les systèmes se connectant au contrôleur d’administration TSM.
Le client de l’interface en ligne de commande TSM valide le certificat de confiance depuis un magasin autre que celui utilisé par le client de l’interface utilisateur Web TSM. Le client de l’interface en ligne de commande TSM se réfère au magasin approuvé dans le keystore Java local pour valider l’approbation des certificats CA. Étant donné que l’interface utilisateur Web TSM doit établir la connexion avec un navigateur Web, l’approbation est validée à l’aide du keystore approuvé du système d’exploitation. La différence dans le mode de stockage des certificats CA détermine les différents scénarios de configuration de l’approbation, comme expliqué ici :
- Pour les communications de l’interface en ligne de commande TSM sur Tableau Server, le certificat de confiance est configuré par défaut dans le cadre de l’installation, du fichier bootstrap du nœud et des processus de mise à niveau. Le certificat CA de l’installation Tableau est ajouté au magasin approuvé dans le keystore Java. Vous pouvez ainsi accéder à TSM en utilisant l’interface en ligne de commande depuis tout ordinateur du cluster sans configuration supplémentaire. Toutefois, lorsque vous accédez à l’interface utilisateur Web TSM, le navigateur vous invite à faire confiance à l’hôte exécutant le service du contrôleur d’administration TSM.
- Pour les connexions avec l’interface en ligne de commande TSM depuis des ordinateurs distants, vous serez invité à faire confiance au certificat CA de l’installation Tableau la première fois que vous vous connectez à l’instance Tableau Server exécutant le contrôleur d’administration TSM. Vous pouvez choisir de faire confiance au certificat CA, dans quel cas vous ne verrez plus s’afficher d’invite sur cet ordinateur jusqu’à l’expiration du certificat (3 ans par défaut). Vous pouvez sinon vous connecter avec une approbation unique en exécutant votre commande TSM avec l’indicateur
--trust-admin-controller-cert
. - Pour les connexions à l’interface utilisateur Web TSM, le navigateur vous invite à faire confiance à l’hôte exécutant le service du contrôleur d’administration TSM.