Aktivera Kerberos-delegering

Med Kerberos-delegering kan Tableau Server använda användarens Kerberos-autentiseringsuppgifter för en arbetsbok eller vy för att köra en fråga å användarens vägnar. Detta är användbart i följande situationer:

  • Du måste veta vem som har åtkomst till data (användarens namn visas i datakällans åtkomstloggar).

  • Datakällan har säkerhet på radnivå, vilket innebär att olika användare har åtkomst till olika rader.

Datakällor som stöds

Tableau har stöd för Kerberos-delegering med följande datakällor:

  • Cloudera: Hive/Impala
  • Denodo
  • Hortonworks
  • Oracle
  • PostgreSQL
  • Spark
  • SQL Server
  • Teradata
  • Vertica

MSAS stöds inte på Linux-plattformar.

Krav

Kerberos-delegering kräver Active Directory.

  • Tableau Server-identitetsregistret måste konfigureras så att det kan använda Active Directory.
  • Datorn där Tableau Server är installerad måste vara del av Active Directory-domänen.
  • MIT Kerberos KDC stöds inte.

Webbredigering och Kerberos-autentisering av användare

När du konfigurerar Anslut till data för ett visst mål kan du välja Integrerad autentisering eller Windows-autentisering som önskad autentiseringsmetod. För webbredigering är standardbeteendet däremot att använda Kerberos-tjänstkontot (”Kör som”-konto) i stället.

För att aktivera inloggningsuppgifter för webbredigering med Kerberos-delegering måste du göra ytterligare en konfiguration med TSM. Kör följande kommandon:

tsm configuration set -k native_api.WebAuthoringAuthModeKerberosDelegation -v true
tsm pending-changes apply

När du har gjort den här konfigurationen blir Kerberos-delegering standardåtgärd när användaren väljer integrerad autentisering med webbredigering. Den här inställningen hindrar emellertid inte innehållsutvecklare från att komma åt tjänstkontot. Creator-användare kan fortfarande publicera innehåll som ansluter med Kör som tjänst-kontot med Tableau Desktop eller andra metoder.

Mer information om Kör som tjänst-kontot finns i Aktivera tillgång till Kerberos-tjänstkontot.

Konfigurationsprocess

Det här avsnittet innehåller ett exempel på processen för att aktivera Kerberos-delegering. Det här scenariot omfattar även exempelnamn för att beskriva relationerna mellan konfigurationselementen.

  1. Tableau Server behöver en Kerberos-tjänstbiljett för att kunna delegera för den användare som initierar anropet till databasen. Du måste skapa ett domänkonto som kan användas för att delegera till den angivna databasen. Det här kontot kallas för Kör som tjänst-kontot. I det här ämnet konfigureras exempelanvändaren för delegeringskontot/Kör som-kontot som tabsrv@example.com.

    Kontot måste konfigureras med Active Directory-användare och de Windows Server-datorer som är anslutna till användardomänen:

    • Öppna sidan Egenskaper för Kör som tjänst-kontot, klicka på fliken Delegering och välj Lita endast på den här användaren vid delegering av angivna tjänster och Använd valfritt autentiseringsprotokoll.
  2. Skapa en keytab-fil för Kör som tjänst-kontot.

    Följande kommandon skapar t.ex. en keytab-fil (tabsrv-runas.keytab) med hjälp av ktutil-verktyget:

    sudo ktutil
    ktutil:  addent -password -p tabsrv@EXAMPLE.COM -k 2 -e <encryption scheme>

    Krypteringsschemana för det här kommandot omfattar RC4-HMAC, aes128-cts-hmac-sha1-96 och aes256-cts-hmac-sha1-96. Be IT-teamet om korrekt krypteringsschema för din miljö och datakälla.

    ktutil:  wkt tabsrv-runas.keytab

    Tableau Server använder Kör som tjänst-kontot och tillhörande keytab-fil för att autentisera och göra en direktanslutning till databasen.

  3. Kopiera keytab-filen till Tableau Server-datakatalogen och ange rätt ägarskap och behörigheter. Om du kör en driftsättning på flera noder måste du även köra följande kommando på varje nod i klustret:

    mkdir /var/opt/keytab                
    sudo cp -p tabsrv-runas.keytab /var/opt/keytab                 
    sudo chown $USER /var/opt/keytab/tabsrv-runas.keytab                  
    chgrp tableau /var/opt/keytab/tabsrv-runas.keytab                  
    chmod g+r /var/opt/keytab/tabsrv-runas.keytab 
    					
  4. Aktivera Kerberos-delegering genom att köra följande TSM-kommandon, ange delegeringstjänstkontot och associera keytab-filen till tjänstkontot:

    					
    tsm configuration set -k wgserver.delegation.enabled -v true
    tsm configuration set -k native_api.datasource_impersonation_runas_principal -v tabsrv@EXAMPLE.COM
    tsm configuration set -k native_api.datasource_impersonation_runas_keytab_path -v /var/opt/keytab/tabsrv-runas.keytab
    tsm configuration set -k native_api.protocol_transition_a_d_short_domain -v false
    tsm configuration set -k native_api.protocol_transition_uppercase_realm -v true

    I vissa fall kan TSM returnera ett fel som nämner --force-keys. Om du ställs inför det här felet, så kör kommandot igen med parametern --force-keys kopplad till argumentet.

  5. Kör följande TSM-kommando som tillämpar ändringarna på Tableau Server:

    tsm pending-changes apply

    Om de väntande ändringarna kräver att servern startas om visar kommandot pending-changes apply en kommandotolk så att du vet att en omstart kommer att ske. Kommandotolken visas även om servern stoppas, men i så fall sker ingen omstart. Du kan utelämna tolken med alternativet --ignore-prompt, men det påverkar inte omstartsbeteendet. Om ändringarna inte kräver omstart används de utan någon kommandotolk. Du hittar mer information i tsm pending-changes apply.

  6. Aktivera delegering för dataanslutningar:

    Se även

    Felsöka Kerberos

Tack för din feedback!Din feedback har skickats in. Tack!