Systemanvändare, sudo-behörigheter och systemd
Det här avsnittet beskriver systemanvändare, systemd-användartjänst och sudo-privilegier gällande Tableau Server.
Separation av behörigheter
Enligt standardiserade bästa säkerhetspraxis kör Tableau Server för Linux processer med minsta möjliga behörighet. Under installationen skapas den obehöriga användaren, tableau, i en server-auktoriserad grupp (tableau).
Ett exempel på användarpost i filen /etc/passwd är som följer:
tableau:x:993:991:Tableau Server:/var/opt/tableau/tableau_server:/bin/bash
Alla processer körs som den obehöriga användaren tableau. Detta innebär att om en av Tableau Server-processerna (såsom en process som visar visualiseringar för användare) äventyras på något sätt, skulle den endast påverka Tableau Server och inte resten av Linux-systemet. Av den här anledningen bör du inte lägga till den obehöriga användaren tableau till gruppen tsmadmin. Gruppen tsmadmin bör endast innehålla konton som kräver auktorisering för åtkomst till OS-relaterade Tableau-konfigurationer.
Användaren tableau och gruppen tsmadmin skapas av Tableau Server-initieringsprocessen. Du kan ange en annan obehörig användare eller TSM-auktoriseringsgrupp under installationen. Se Identitetsregister för mer information om systemanvändare och -grupper, i samband med installationen och konfiguration av LDAP.
sudo-behörigheter
Den första versionen (10.5) av Tableau Server på Linux förlitade sig på sudo-behörigheter genom att uppdatera sudoers-filen. Att uppdatera sudoers-filen skapar konflikter med vissa bästa praxis gällande systemhanteringskonfigurationer och säkerhetspolicyer. Därför skapar eller använder Tableau Server version 2018.1 (och senare) inte längre en behörig användare (tsmagent). Den aktuella versionen av Tableau Server uppdaterar eller innehåller inte heller en Tableau-specifik sudoers-fil.
Alla behöriga åtgärder sker nu under installationen av paket och programvara.
systemd-användartjänst
I Tableau Server version 10.5 på Linux krävdes sudo-behörigheter för att ändra eller starta om TSM-tjänsterna, vilket krävde systemctl-kommandon. Alla TSM-tjänster kördes från den normala systemomfattande systemprocessen (process ID 1, som kör alla processer i operativsystemet). I det här schemat körs systemd-processen som rot. Därför krävde Tableau Server version 10.5 sudo-behörigheter.
Med nuvarande version 2018.1 (och senare) har vi tagit bort behovet av sudo-behörigheter genom att använda möjligheten som systemd har för att köras som en användartjänst. Systemd-användartjänsten körs som en normal användare. Den behöver därför inga speciella behörigheter när den väl har aktiverats.
I normala användningsfall behöver kommandon inte utfärdas till systemd då TSM tar hand om det. För felsökningsscenarier kan du dock behöva interagera med TSM-tjänsterna. Precis som med de tidigare versionerna utfärdas samma systemctl-kommandon för dessa scenarier. Kommandon bör dock köras som användaren tableau och inte som rot. Om du angav en annan obehörig systemanvändare under installationen av Tableau Server ska du köra dessa kommandon som den användaren.
Köra systemctl-kommandon
Använd följande syntaxexempel för att utfärda en begäran till systemd med systemctl-kommandona.
Starta en session som oprivilegierad användare. Flaggan -l är avgörande för att ställa in miljövariabler korrekt.
sudo su -l tableau
Utfärda sedan kommandon. Exempel:
systemctl --user status tabadmincontroller_0
systemctl --user restart tabadmincontroller_0