일반적인 보안 방법에서는 인증된 요청만 DMZ 서버의 내부 방화벽을 통과할 수 있도록 합니다. 독립 게이트웨이는 기존의 Tableau Server 인증 방법을 지원하지만 Apache httpd 로드 가능 모듈을 통합하여 사용자 지정 인증을 설정할 수 있는 구성 속성도 포함되어 있습니다.

예를 들어 Tableau Server에서 SAML을 구성하고 사용자 지정 인증 모듈을 구성하여 모든 사용자에게 독립 게이트웨이에서 IdP를 통해 인증하도록 요구할 수 있습니다. 이렇게 하면 인증된 사용자만 Tableau Server에 액세스할 수 있게 되고 Tableau Server에서 사용자를 인증하고 액세스 권한을 부여할 수 있습니다.

인증 모듈을 구성하려면 다음 단계를 완료해야 합니다.

  1. 인증 모듈 구성 파일을 생성합니다. 설정이 완료되면 각 모듈과 구성 지시문이 Include 옵션으로 처리되어 포함된 파일이 전체 httpd 구성의 논리적 일부가 됩니다.
  2. 독립 게이트웨이를 실행하는 각 컴퓨터에 구성 파일을 복사합니다. 모든 파일을 각 독립 게이트웨이 컴퓨터의 동일한 위치에 복사해야 합니다. 각 파일은 Tableau Server를 통해 관리되는 구성 속성으로 매핑됩니다.
  3. Tableau Server에서 tsm configuration set 명령을 사용하여 구성 속성을 설정합니다.

독립 게이트웨이에서 httpd 구성 파일(httpd.conf)을 편집하지 마십시오. 독립 게이트웨이에는 Tableau Server에서 TSM 명령을 통해 수행된 변경 내용에 따라 httpd 구성을 업데이트하는 논리가 포함되어 있기 때문입니다.

구성 속성

다음 표에는 참조할 수 있는 다양한 구성 파일이 설명되어 있습니다. 각 파일은 Tableau Server에서 설정되는 구성 속성으로 매핑됩니다. 사용자 지정 인증 구성을 만드는 데 필요한 속성만 정의하면 됩니다. 필요하지 않은 구성 속성은 건너뛰십시오.

구성 속성 설명
gateway.tsig.authn_module_block 정상적으로 로드된 Apache httpd 모듈 집합의 끝에 표시됩니다. 목적은 하나 이상의 LoadModule 지시문을 파일에 포함하는 것입니다. 모듈 자체는 전체 경로로 식별되어야 합니다.
gateway.tsig.authn_global_block 모든 LoadModule 참조의 뒤와 대부분의 다른 Apache httpd 지시문 앞에 표시됩니다. 목적은 사용자 지정 모듈에 필요한 구성 지시문을 위한 자리를 제공하는 것입니다.
gateway.tsig.authn_globalbottom_block 전역 수준에서 구성 파일의 맨 아래에 표시됩니다. 목적은 사용자 지정 모듈에 필요한 구성 지시문, 다양한 다른 지시문 뒤에 와야 하는 지시문을 위한 자리를 제공하는 것입니다. 이 속성이 필요할 가능성은 낮습니다.
gateway.tsig.authn_location_block <Location "/"> 블록 안에 표시되며 모든 URL 경로를 포함합니다.
gateway.tsig.authn_directory_block <Directory "/"> 블록 안에 표시되며 독립 게이트웨이를 통해 처리되는 파일의 모든 경로를 포함합니다. 이 속성이 필요할 가능성은 낮습니다. 독립 게이트웨이를 통해 처리되는 대부분의 파일은 중요하지 않은 정적 자산(예: 이미지 및 JavaScript 파일)입니다.
gateway.tsig.authn_virtualhost_block

<VirtualHost> 블록 1개 또는 2개 안에 나타납니다. 하나는 TLS(사용된 경우)에 대한 것이고 다른 하나는 비 TLS에 대한 것입니다. 구성하면 동일한 파일이 두 위치에 포함됩니다. 두 경우를 구분해야 하는 경우 표준 Apache httpd HTTPS 환경 변수를 사용할 수 있습니다.

<Location "/tsighk"> 블록

정상적인 요청 트래픽을 위한 <Location "/"> 블록에 더해 내부 독립 게이트웨이 HK(하우스키핑) 요청을 처리하는 데 사용되는 <Location "/tsighk"> 블록도 있습니다. 이러한 HK 요청에는 자체 인증 가드가 있으며 일반적인 사용자 지정 SSO 솔루션에서 작동하지 않습니다.

HK URL 경로에 대한 인증을 시도하지 않도록 사용자 지정 모듈을 명시적으로 제외해야 할 수 있습니다.

모듈을 제외해야 하는지 여부를 확인하려면 먼저 모듈을 구성합니다. 그런 다음 독립 게이트웨이 액세스 로그에서 HK 요청을 확인합니다. 상태 확인이 1분에 한 번 또는 두 번 이상 나타나야 합니다. 이러한 요청에서 200 응답 코드가 수신되는 경우 문제가 없는 것일 수 있습니다. 반대로 이러한 요청에서 3xx 응답 코드를 수신하는 경우(사용자 지정 인증 공급자로 리디렉션) 조치를 취해야 할 수 있습니다.

가능한 솔루션은 다음과 같습니다.

  • <Location "/tsighk"> 블록에 AuthType None 지시문이 포함되어 있고 이것으로 충분할 수 있습니다.
  • 독립 게이트웨이 httpd.conf에 표준 Apache httpd 지시문 ProxyPreserveHost(링크가 새 창에서 열림) On이 있습니다. 이 지시문으로 Off 또는 다른 값으로 변경해야 하는 특별한 상황이 있는 경우 TSM 구성 항목 gateway.tsig.proxypreservehost를 사용하여 값을 설정할 수 있습니다.
  • r <Location "/tsighk">의 경우 인증 모듈을 사용하지 않도록 설정하는 모듈별 지시문이 필요할 수도 있습니다. httpd.conf 파일에서 직접 이 블록을 수정할 수는 없습니다. 대신 gateway.tsig.authn_global_block 파일에 다른 <Location "/tsighk"> 블록을 만들고 Apache httpd로 논리적으로 병합할 수 있습니다. 예를 들어 인기 오픈 소스 인증 모듈인 mod_auth_mellon의 일부 버전에서는 이 모듈이 적용되지 않는 섹션에 AuthType None이 설정되어 있더라도 MellonEnable Off가 필요합니다.
  • 추가 <Location "/tsighk"> 섹션을 만드는 경우 이전 글머리 기호에 설명된 대로 httpd.conf 파일에 있는 다양한 섹션의 표시 순서에 따라 서로에게 미치는 영향이 달라집니다. 표준 <Location "/tsighk"> 섹션은 표준 <Location "/"> 섹션 앞에 표시됩니다. 실험에서 다른 순서가 필요한 것으로 확인되는 경우 다른 <Location "/tsighk"> 섹션에 더해 gateway.tsig.authn_global_block 블록에 다른 <Location "/"> 섹션을 정의해야 할 수 있습니다. 이 경우에는 gateway.tsig.authn_location_block 블록에 있는 모든 항목이 필요하지 않을 수 있습니다.

사용자 지정 인증 모듈 구성 문제 해결

독립 게이트웨이에서 httpd.conf 파일이 구성되는 방법을 쉽게 이해할 수 있는 방법 중 하나는 독립 게이트웨이 컴퓨터의 빈 파일을 가리키는 값으로 TSM 구성 항목을 설정하는 것입니다. 파일이 있어야 하지만 비어 있어도 됩니다. 그러면 독립 게이트웨이의 httpd.conf 파일을 확인하여 다양한 구성 파일의Include 지시문이 실제로 표시되는 위치를 구체적으로 파악할 수 있습니다.

독립 게이트웨이 httpd.conf에 구성 문제가 있으면 tsig-httpd 서비스가 시작되지 않을 수 있습니다. Tableau Server 클러스터에서 독립 게이트웨이 보조 서비스의 구성 업데이트를 수신하지 못하도록 하는 다른 구성 문제도 발생할 수 있습니다. 이 경우 문제의 원인을 해결한 후 복구할 때 사용할 수 있는 한 가지 방법은 TSIG_DATA/config/httpd.conf.stubTSIG_DATA/config/httpd.conf에 복사한 다음 tsig-httpd 서비스를 다시 시작하는 것입니다.

피드백을 제공해 주셔서 감사합니다!