Aktivera Kerberos-delegering
Med Kerberos-delegering kan Tableau Server använda användarens Kerberos-autentiseringsuppgifter för en arbetsbok eller vy för att köra en fråga å användarens vägnar. Detta är användbart i följande situationer:
Du måste veta vem som har åtkomst till data (användarens namn visas i datakällans åtkomstloggar).
Datakällan har säkerhet på radnivå, vilket innebär att olika användare har åtkomst till olika rader.
Datakällor som stöds
Tableau har stöd för Kerberos-delegering med följande datakällor:
- Cloudera: Hive/Impala
- Denodo
- Hortonworks
- Oracle
- PostgreSQL
- Spark
- SQL Server
- Teradata
- Vertica
MSAS stöds inte på Linux-plattformar.
Krav
Kerberos-delegering kräver Active Directory.
- Tableau Server-identitetsregistret måste konfigureras så att det kan använda Active Directory.
- Datorn där Tableau Server är installerad måste vara del av Active Directory-domänen.
- MIT Kerberos KDC stöds inte.
Webbredigering och Kerberos-autentisering av användare
När du konfigurerar Anslut till data för ett visst mål kan du välja Integrerad autentisering eller Windows-autentisering som önskad autentiseringsmetod. För webbredigering är standardbeteendet däremot att använda Kerberos-tjänstkontot (”Kör som”-konto) i stället.
För att aktivera inloggningsuppgifter för webbredigering med Kerberos-delegering måste du göra ytterligare en konfiguration med TSM. Kör följande kommandon:
tsm configuration set -k native_api.WebAuthoringAuthModeKerberosDelegation -v true
tsm pending-changes apply
När du har gjort den här konfigurationen blir Kerberos-delegering standardåtgärd när användaren väljer integrerad autentisering med webbredigering. Den här inställningen hindrar emellertid inte innehållsutvecklare från att komma åt tjänstkontot. Creator-användare kan fortfarande publicera innehåll som ansluter med Kör som tjänst-kontot med Tableau Desktop eller andra metoder.
Konfigurationsprocess
Det här avsnittet innehåller ett exempel på processen för att aktivera Kerberos-delegering. Det här scenariot omfattar även exempelnamn för att beskriva relationerna mellan konfigurationselementen.
Tableau Server behöver en Kerberos-tjänstbiljett för att kunna delegera för den användare som initierar anropet till databasen. Du måste skapa ett domänkonto som kan användas för att delegera till den angivna databasen. Det här kontot kallas för Kör som tjänst-kontot. I det här ämnet konfigureras exempelanvändaren för delegeringskontot/Kör som-kontot som
tabsrv@example.com.Kontot måste konfigureras med Active Directory-användare och de Windows Server-datorer som är anslutna till användardomänen:
- Öppna sidan Egenskaper för Kör som tjänst-kontot, klicka på fliken Delegering och välj Lita endast på den här användaren vid delegering av angivna tjänster och Använd valfritt autentiseringsprotokoll.
Skapa en keytab-fil för Kör som tjänst-kontot.
Följande kommandon skapar t.ex. en keytab-fil
(tabsrv-runas.keytab) med hjälp av ktutil-verktyget:sudo ktutil
ktutil: addent -password -p tabsrv@EXAMPLE.COM -k 2 -e <encryption scheme>
Krypteringsschemana för det här kommandot omfattar
RC4-HMAC,aes128-cts-hmac-sha1-96ochaes256-cts-hmac-sha1-96. Be IT-teamet om korrekt krypteringsschema för din miljö och datakälla.ktutil: wkt tabsrv-runas.keytab
Tableau Server använder Kör som tjänst-kontot och tillhörande keytab-fil för att autentisera och göra en direktanslutning till databasen.
Kopiera keytab-filen till Tableau Server-datakatalogen och ange rätt ägarskap och behörigheter. Om du kör en driftsättning på flera noder måste du även köra följande kommando på varje nod i klustret:
mkdir /var/opt/keytab sudo cp -p tabsrv-runas.keytab /var/opt/keytab sudo chown $USER /var/opt/keytab/tabsrv-runas.keytab chgrp tableau /var/opt/keytab/tabsrv-runas.keytab chmod g+r /var/opt/keytab/tabsrv-runas.keytab
Aktivera Kerberos-delegering genom att köra följande TSM-kommandon, ange delegeringstjänstkontot och associera keytab-filen till tjänstkontot:
tsm configuration set -k wgserver.delegation.enabled -v true tsm configuration set -k native_api.datasource_impersonation_runas_principal -v tabsrv@EXAMPLE.COM tsm configuration set -k native_api.datasource_impersonation_runas_keytab_path -v /var/opt/keytab/tabsrv-runas.keytab tsm configuration set -k native_api.protocol_transition_a_d_short_domain -v false tsm configuration set -k native_api.protocol_transition_uppercase_realm -v true
I vissa fall kan TSM returnera ett fel som nämner
--force-keys. Om du ställs inför det här felet, så kör kommandot igen med parametern--force-keyskopplad till argumentet.Kör följande TSM-kommando som tillämpar ändringarna på Tableau Server:
tsm pending-changes applyOm de väntande ändringarna kräver att servern startas om visar kommandot
pending-changes applyen kommandotolk så att du vet att en omstart kommer att ske. Kommandotolken visas även om servern stoppas, men i så fall sker ingen omstart. Du kan utelämna tolken med alternativet--ignore-prompt, men det påverkar inte omstartsbeteendet. Om ändringarna inte kräver omstart används de utan någon kommandotolk. Du hittar mer information i tsm pending-changes apply.Aktivera delegering för dataanslutningar:
SQL Server – se Enabling Kerberos Delegation for SQL Server(Länken öppnas i ett nytt fönster) i vårt Tableau-community.
PostgreSQL – se Enabling Kerberos Delegation for PostgreSQL(Länken öppnas i ett nytt fönster) i vårt Tableau-community.
Teradata – se Enabling Kerberos Delegation for Teradata(Länken öppnas i ett nytt fönster) i vårt Tableau-community.
Denodo – se Enabling Kerberos Delegation for Denodo on Linux(Länken öppnas i ett nytt fönster) i vårt Tableau-community.
Oracle – se Enabling Kerberos Delegation for Oracle(Länken öppnas i ett nytt fönster) i vårt Tableau-community.
Cloudera – se Enable Kerberos Delegation for Hive/Impala(Länken öppnas i ett nytt fönster) i vårt Tableau-community.
Vertica – se Enabling Kerberos Delegation for Vertica(Länken öppnas i ett nytt fönster) i vårt Tableau-community.
Se även