Kerberos 委任の有効化

Kerberos 委任を使用すると、Tableau Server はワークブックまたはビューを参照しているユーザーの Kerberos 認証資格情報を使用してそのユーザーのためにクエリを実行できます。これは、次のような場合に役立ちます。

  • 誰がデータにアクセスしているかを知る必要があります (ビューアーの名前はデータ ソースのアクセス ログに表示されます)。

  • データ ソースのセキュリティは行レベルですが、別のユーザーは別の行へのアクセス権があります。

サポートされているデータ ソース

Tableau では次のデータ ソースを使用する Kerberos 委任がサポートされています。

  • Cloudera: Hive/Impala
  • Denodo
  • Hortonworks
  • Oracle
  • PostgreSQL
  • Spark
  • SQL Server
  • Teradata
  • Vertica

MSAS は Linux プラットフォームではサポートされていません。

要件

Kerberos 委任には Active Directory が必要です。

  • Tableau Server の情報ストアが、LDAP - Active Directory を使用するように構成されている必要があります。
  • Tableau Server がインストールされているコンピューターを Active Directory のドメインに結合する必要があります。
  • MIT KDC はサポートされません。

Web 作成

Kerberos 委任をサポートしない Web 作成シナリオは 2 つあります。「Web 上のデータへ接続する」機能と「Web 上でデータベースを作成する」機能はまだ委任をサポートしていません。具体的には、Web 作成で Kerberos を使用するデータソースを作成する場合、データ ソースは実行サービス アカウントの認証を使用します。Kerberos 委任を使用してデータソースを作成する場合は、Tableau Desktop でパブリッシュする必要があります。実行サービス アカウントの詳細については、「Kerberos サービス アカウントへのアクセスの有効化」を参照してください。

構成プロセス

このセクションでは、Kerberos 委任を有効にするためのプロセスの例を示します。また、シナリオには各構成要素間のリレーションシップを説明する際に便利なサンプル名が含まれています。

  1. Tableau Server では、データベースへの呼び出しを開始するユーザーの委任に Kerberos サービス チケットが必要となります。指定したデータベースへの委任に使用するドメイン アカウントを作成する必要があります。このアカウントは実行サービス アカウントと呼ばれます。このトピックで委任/実行アカウントとして構成されたサンプル ユーザーは、tabsrv@example.com となります。

    このアカウントは、ユーザー ドメインに接続されている Windows Server 上の Active Directory のユーザーおよび PC を使用して構成する必要があります。

    • 実行サービス アカウントの [プロパティ] ページを開き、[委任] タブをクリックして [指定サービスの委任用のみ、このユーザーを信頼する] および [任意の認証プロトコルを使用する] を選択します。
  2. 実行サービス アカウントのキータブ ファイルを作成します。

    たとえば、ktutil ツールを使用して、次のコマンドでキータブ (tabsrv-runas.keytab) を作成します。

    sudo ktutil
    ktutil:  addent -password -p tabsrv@EXAMPLE.COM -k 2 -e <encryption scheme>

    このコマンドの暗号化スキームには、RC4-HMACaes128-cts-hmac-sha1-96aes256-cts-hmac-sha1-96 などがあります。環境およびデータ ソースに適した暗号化スキームについては、 IT チームにお問い合わせください。

    ktutil:  wkt tabsrv-runas.keytab

    Tableau Server では、実行サービス アカウントおよび関連付けられたキータブを使用して認証を行い、データベースへ直接接続します。

  3. Tableau Server データ ディレクトリにキータブをコピーし、適切な所有権とパーミッションを設定します。

    mkdir /var/opt/keytab                
    sudo cp -p tabsrv-runas.keytab /var/opt/keytab                 
    sudo chown $USER /var/opt/keytab/tabsrv-runas.keytab                  
    chgrp tableau /var/opt/keytab/tabsrv-runas.keytab                  
    chmod g+r /var/opt/keytab/tabsrv-runas.keytab 
    					
  4. 次の TSM コマンドを実行して Kerberos 委任を有効にし、委任サービス アカウントを設定してキータブ ファイルとサービス アカウントを関連付けます。

    					
    tsm configuration set -k wgserver.delegation.enabled -v true
    tsm configuration set -k native_api.datasource_impersonation_runas_principal -v tabsrv@EXAMPLE.COM
    tsm configuration set -k native_api.datasource_impersonation_runas_keytab_path -v /var/opt/keytab/tabsrv-runas.keytab
    tsm configuration set -k native_api.protocol_transition_a_d_short_domain -v false
    tsm configuration set -k native_api.protocol_transition_uppercase_realm -v true

    場合によっては、TSM で --force-keys と記載されるエラーが返されることがあります。このエラーが発生する場合は、引数に --force-keys パラメーターに追加してコマンドを再度実行してください。

  5. 次の TSM コマンドを実行して Tableau Server へ変更を適用します。

    tsm pending-changes apply

    保留中の変更にサーバーの再起動が必要な場合は、pending-changes apply コマンドの実行時に、再起動が行われることを知らせるメッセージが表示されます。このメッセージはサーバーが停止していても表示されますが、その場合には再起動は行われません。--ignore-prompt オプションを使用してメッセージが表示されないようにできますが、そのようにしても再起動に関する動作が変わることはありません。変更に再起動が必要ない場合は、メッセージなしで変更が適用されます。詳細については、tsm pending-changes applyを参照してください。

  6. データ接続で委任を有効にします:

    関連項目

    Kerberos のトラブルシューティング

このセクションの他の記事

ありがとうございます!