Aktivera tillgång till Kerberos-tjänstkontot

Du kan konfigurera Tableau Server till att använda ett Kerberos-tjänstkonto för att få åtkomst till en databas. I det här scenariot ansluter Tableau Server till databaser med ett tjänstkonto, även kallat ett RunAs-konto.

Om du vill använda RunAs-autentisering i Tableau Server så måste du först skapa en arbetsbok eller datakälla som använder integrerad autentisering. När användare publicerar till Tableau Server får de alternativet RunAs-autentisering. Om du skapar en datakälla med Tableau Server-webbredigering som använder integrerad autentisering så använder datakällan RunAs-autentisering som standard.

Obs! Integrerad autentisering kallas även för Windows-autentisering i vissa kopplingar. I bägge fallen använder Tableau Server Kerberos-autentisering.

Dataåtkomst med RunAs-tjänstkontot

Om du vill använda RunAs-autentisering behöver RunAs-kontot läs- och skrivbehörigheter för externa databaser. Som det är designat har Tableau Server-användare med Creator-roll eller Explorer (Can Publish)-roll fullständig tillgång till RunAs-kontot för frågor till externa databaser.

En användare med Creator-rollen kan till exempel visa alla databaser som beviljats åtkomst till RunAs-tjänstkontot. De kan även lista tabeller och köra anpassad SQL.

Om Creator-användaren anger databasvärdens namn och väljer integrerad autentisering när en ny datakälla skapas med webbredigering så kommer databaser som har beviljats RunAs-åtkomst visas för användaren.

Visningsåtkomst till databastillgångar är inte begränsat till användare som ansluter till Tableau Server med webbredigering. Sofistikerade användare som har samma roller som omnämnts ovan och som känner till databasservernamn kan skapa arbetsböcker med Tableau Desktop som visar databaser som beviljats RunAs-åtkomst.

Rekommendationer

Huruvida användaråtkomst till databaser i dessa scenarier är acceptabelt är upp till din organisation att bedöma. Generellt sett minskar en reducering av användning och omfattning för RunAs-tjänstkontot även sannolikhetern för oavsiktlig användaråtkomst till databasinnehåll. Om du minskar användning och omfattning för RunAs-tjänstkontot kan det dock även leda till en ökad hantering av inloggningsuppgifter för dig och dina användare.

Utvärdera följande rekommendationer mot bakgrund av företagets behov och dataåtkomstpolicyer.

  • Se för det första till att du har förtroende för alla användare som har rollerna Creator eller Explorer (kan publicera). Du kommer att vara beroende av att dessa användare genomför dessa åtgärder i Tableau med integritet.
  • Om du inte kan lita på alla dina användare som har publiceringsbehörighet på datakällor som RunAs-tjänstkontot har åtkomst till så bör du överväga att bädda in inloggningsuppgifter för de datakällorna.
  • Om datakällan inte har konfigurerats för automatiska extraktuppdateringar, dvs att datakällan är primärt nåbar som en liveanslutning, så kan du möjligtvis använda Kerberos-delegering. Information om krav finns i Aktivera Kerberos-delegering.

Krav

  • MIT Kerberos stöds inte.
  • RunAs-tjänstkontot måste ha läsåtkomst till måldatabasen.

Konfigurationsprocess

Det här avsnittet innehåller ett exempel på processen för att aktivera åtkomst till Kerberos-tjänstkontot.

  1. Skapa ett domänanvändarkonto som får agera som RunAs-tjänstkontot. Den här kontot måste ha läsåtkomst till måldatabasen.

    I exemplet här är RunAs-tjänstkontot huvudnamnet tabsrv@example.com.

  2. Skapa en keytab-fil för RunAs-tjänstkontot.

    Följande kommandon skapar t.ex. en keytab-fil (tabsrv-runas.keytab) med hjälp av ktutil-verktyget:

    ktutil
    ktutil:  addent -password -p tabsrv@EXAMPLE.COM -k 2 -e <encryption scheme>

    Krypteringsschemana för det här kommandot omfattar RC4-HMAC, aes128-cts-hmac-sha1-96 och aes256-cts-hmac-sha1-96. Be IT-teamet om korrekt krypteringsschema för din miljö och datakälla.

    ktutil:  wkt tabsrv-runas.keytab

    Tableau Server använder RunAs-tjänstkontot och tillhörande keytab-fil för att autentisera och upprätta en direktanslutning till databasen.

  3. Kopiera keytab-filen till Tableau Server-datakatalogen och ange rätt ägarskap och behörigheter. Keytab-filen ska vara läsbar av den opriviligierade användaren. Den opriviligierade standardanvändare som skapas av Tableau-installationen är tableau.

    Om du kör en driftsättning på flera noder så måste du köra följande kommando på varje nod i klustret:

    mkdir /var/opt/tableau/tableau_server/keytab                
    sudo cp -p tabsrv-runas.keytab /var/opt/tableau/tableau_server/keytab                 
    sudo chown $USER /var/opt/tableau/tableau_server/keytab/tabsrv-runas.keytab                  
    chgrp tableau /var/opt/tableau/tableau_server/keytab/tabsrv-runas.keytab                  
    chmod g+r /var/opt/tableau/tableau_server/keytab/tabsrv-runas.keytab 
    
  4. Aktivera RunAs-åtkomst, ange RunAs-tjänstkonto och associera keytab-filen med tjänstkontot genom att köra följande TSM-kommandon.

    tsm configuration set -k features.RunAsAuthLinux -v true --force-keys
    tsm configuration set -k native_api.datasource_runas_principal -v tabsrv@EXAMPLE.COM --force-keys
    tsm configuration set -k native_api.datasource_runas_keytab_path -v /var/opt/tableau/tableau_server/keytab/tabsrv-runas.keytab --force-keys			
  5. Kör följande TSM-kommando för att tillämpa ändringarna på Tableau Server-distributionen:

    tsm pending-changes apply

    Om de väntande ändringarna kräver att servern startas om visar kommandot pending-changes apply en kommandotolk så att du vet att en omstart kommer att ske. Kommandotolken visas även om servern stoppas, men i så fall sker ingen omstart. Du kan utelämna tolken med alternativet --ignore-prompt, men det påverkar inte omstartsbeteendet. Om ändringarna inte kräver omstart används de utan någon kommandotolk. Du hittar mer information i tsm pending-changes apply.

Tack för din feedback!Din feedback har skickats in. Tack!