Autenticação baseada em PAM no Resource Monitoring Tool do Tableau (RMT)

Aplica-se a: Tableau Advanced Management

A partir da versão 2025.2, a autenticação baseada em PAM para usuários delegados foi adicionada. Isso permite que os clientes implementem lógica de autenticação personalizada, se necessário.

Anteriormente, o RMT dependia apenas de su para a autenticação do usuário delegada, o que poderia levar a inconsistências se as políticas de autenticação subjacentes do Linux fossem diferentes entre o Tableau Server e o RMT. Ao adicionar suporte para PAM, o RMT se alinha ao fluxo de autenticação do Tableau Server, proporcionando mais flexibilidade e controle.

O RMT usa autenticação local (senhas específicas do RMT) ou delegada (credenciais baseadas no sistema operacional) para acesso de usuário, com a autenticação delegada exigindo que os usuários forneçam sua senha de rede padrão para logon. A autenticação é configurada no RMT Server por meio de sua interface da Web ou da ferramenta de linha de comando rmtadmin, em que os usuários podem ser adicionados ou seus modos de autenticação existentes alterados. A configuração adequada inclui garantir que o username seja inserido corretamente (sem domínio para autenticação delegada) e que as funções de servidor RMT corretas sejam atribuídas aos usuários. Para obter informações sobre as funções de servidor, consulte Gerenciar usuários e autenticação no Resource Monitoring Tool do Tableau (RMT).

Como funciona a autenticação baseada em PAM no RMT

Quando o RMT autentica um usuário delegado, ele segue o mesmo fluxo de autenticação do Tableau Server:

  1. Serviço PAM personalizado (tableau)

    Inicialmente, o RMT tentará autenticar o usuário usando um serviço PAM personalizado chamado tableau, se presente em:

    /etc/pam.d/tableau

    Isso permite que os clientes definam suas próprias políticas de autenticação.

  2. Serviço de logon PAM padrão

    Se o Tableau Service não estiver definido, o RMT voltará a usar o serviço de logon PAM padrão para autenticação.

  3. autenticação baseada em su

    Se ambas as tentativas de PAM falharem, o RMT finalmente tentará a autenticação usando su.

    Esse é o método padrão de autenticação em versões anteriores a 2025.2 e continua válido para garantir a retrocompatibilidade com versões anteriores do RMT e ambientes existentes.

Como habilitar a autenticação baseada em PAM no RMT

Para usar a autenticação baseada em PAM no RMT, os seguintes pré-requisitos devem ser atendidos:

  1. 1. Instale o pamtester

    O RMT usa pamtester para executar a autenticação PAM não interativa.

    Debian/Ubuntu:

    sudo apt install pamtester

    RHEL/CentOS:

    sudo yum install pamtester

  2. Defina permissões para pamtester

    O binário pamtester deve receber as permissões apropriadas para permitir a autenticação:

    sudo chown root:root /usr/bin/pamtester
    sudo chmod u+s /usr/bin/pamtester

    A permissão setuid (u+s) garante que pamtester possa ler /etc/shadow, que é necessário para que a maioria dos módulos PAM execute verificações de senha.

Implementar um serviço PAM personalizado (opcional)

Se desejar implementar sua própria lógica de autenticação personalizada, você poderá definir um serviço PAM chamado tableau:

 /etc/pam.d/tableau
Voltar para o topo
Agradecemos seu feedback!Seu feedback foi enviado. Obrigado!