เปิดใช้งานการเข้าถึงบัญชีบริการ Kerberos

คุณสามารถกำหนดค่า Tableau Server เพื่อใช้บัญชีบริการ Kerberos ในการเข้าถึงฐานข้อมูลได้ ในสถานการณ์นี้ Tableau Server จะเชื่อมต่อกับฐานข้อมูลด้วยบัญชีบริการ หรือเรียกอีกอย่างว่า "บัญชี RunAs"

หาต้องการใช้การตรวจสอบสิทธิ์ RunAs บน Tableau Server คุณต้องสร้างเวิร์กบุ๊กหรือแหล่งข้อมูลที่ใช้การตรวจสอบสิทธิ์แบบรวมก่อน เมื่อผู้ใช้เผยแพร่ไปยัง Tableau Server ผู้ใช้จะมีตัวเลือกสำหรับการตรวจสอบสิทธิ์ RunAs หากคุณสร้างแหล่งข้อมูลด้วยการเขียนเว็บ Tableau Server ที่ใช้การตรวจสอบสิทธิ์แบบรวม แหล่งข้อมูลจะใช้การตรวจสอบสิทธิ์ RunAs ตามค่าเริ่มต้น

หมายเหตุ: การตรวจสอบสิทธิ์แบบรวมหรือเรียกว่าการตรวจสอบสิทธิ์ของ Windows บนตัวเชื่อมต่อบางตัว ในทั้งสองกรณี Tableau Server ใช้การตรวจสอบสิทธิ์ Kerberos

การเข้าถึงข้อมูลด้วยบัญชีบริการ RunAs

หากต้องการใช้การตรวจสอบสิทธิ์ RunAs บัญชี RunAs ต้องมีสิทธิ์ในการอ่านและค้นหาฐานข้อมูลภายนอก ตามที่ออกแบบไว้ ผู้ใช้ Tableau Server ที่มีบทบาท Creator หรือบทบาท Explorer (สามารถเผยแพร่ได้) มีสิทธิ์เข้าถึงบัญชี RunAs เต็มรูปแบบสำหรับการค้นหาฐานข้อมูลภายนอก

ตัวอย่างเช่น ผู้ใช้ที่มีบทบาท Creator สามารถดูฐานข้อมูลทั้งหมดที่ได้รับสิทธิ์เข้าถึงบัญชีบริการ RunAs นอกจากนี้ ผู้ใช้ยังสามารถระบุรายการลงในตารางและเรียกใช้ SQL แบบปรับแต่งเองได้

หากผู้ใช้-Creator ระบุชื่อโฮสต์ฐานข้อมูลและเลือกการตรวจสอบสิทธิ์แบบรวม ในขณะที่สร้างแหล่งข้อมูลใหม่ด้วยการเขียนเว็บ จากนั้นฐานข้อมูลที่ได้รับสิทธิ์การเข้าถึง RunAs จะแสดงต่อผู้ใช้

สิทธิ์ดูเนื้อหาฐานข้อมูลไม่จำกัดเฉพาะผู้ใช้ที่เชื่อมต่อกับ Tableau Server ด้วยการเขียนเว็บ ผู้ใช้ที่ซับซ้อนซึ่งมีบทบาทเดียวกับที่ระบุไว้ข้างต้นและมีความรู้เกี่ยวกับชื่อเซิร์ฟเวอร์ฐานข้อมูล สามารถสร้างเวิร์กบุ๊กด้วย Tableau Desktop ที่แสดงฐานข้อมูลซึ่งได้รับสิทธิ์การเข้าถึง RunAs

คำแนะนำ

การเข้าถึงฐานข้อมูลของผู้ใช้ในสถานการณ์เหล่านี้จะเป็นที่ยอมรับหรือไม่นั้น ต้องได้รับการประเมินโดยองค์กรของคุณ โดยทั่วไป การลดการใช้งานและขอบเขตของบัญชีบริการ RunAs จะลดโอกาสที่ผู้ใช้จะเข้าถึงเนื้อหาฐานข้อมูลโดยไม่ได้ตั้งใจ อย่างไรก็ตาม การลดการใช้งานและขอบเขตของบัญชีบริการ RunAs อาจส่งผลให้มีการจัดการข้อมูลเข้าสู่ระบบเพิ่มเติมของคุณและผู้ใช้ของคุณ

ประเมินคำแนะนำต่อไปนี้ในบริบทของความต้องการทางธุรกิจและนโยบายการเข้าถึงข้อมูลของคุณ

  • ประการแรก ตรวจสอบให้แน่ใจว่าคุณเชื่อถือผู้ใช้ทั้งหมดที่มีบทบาท Creator หรือบทบาท Explorer (สามารถเผยแพร่ได้) คุณจะพึ่งพาผู้ใช้เหล่านี้ให้ดำเนินการใน Tableau ด้วยความซื่อสัตย์
  • หากคุณไม่ไว้ใจผู้ใช้ทั้งหมดที่มีสิทธิ์เผยแพร่แหล่งข้อมูล ซึ่งเข้าถึงได้โดยบัญชีบริการ RunAs คุณควรพิจารณาข้อมูลเข้าสู่ระบบแบบฝังสำหรับแหล่งข้อมูลดังกล่าว
  • หากไม่ได้ตั้งค่าแหล่งข้อมูลสำหรับการรีเฟรชการแยกข้อมูลแบบอัตโนมัติ กล่าวคือ มีการเข้าถึงแหล่งข้อมูลเป็นการเชื่อมต่อแบบสดเป็นหลัก คุณสามารถใช้การมอบหมาย Kerberos ได้ ดูข้อกำหนดได้ที่ เปิดใช้งานการมอบหมาย Kerberos

ข้อกำหนด

  • ไม่รองรับ MIT Kerberos
  • บัญชีบริการ RunAs ต้องมีสิทธิ์อ่านฐานข้อมูลเป้าหมาย

กระบวนการกำหนดค่า

ส่วนนี้แสดงตัวอย่างของกระบวนการเพื่อเปิดใช้งานการเข้าถึงบัญชีบริการ Kerberos

  1. สร้างบัญชีผู้ใช้โดเมนเพื่อทำหน้าที่เป็นบัญชีบริการ RunAs บัญชีนี้ต้องมีสิทธิ์อ่านฐานข้อมูลเป้าหมาย

    ในตัวอย่างนี้ บัญชีบริการ RunAs มีชื่อ "ผู้ใช้" หลักว่า tabsrv@example.com

  2. สร้างไฟล์คีย์แท็บสำหรับบัญชีบริการ RunAs

    ตัวอย่างเช่น คำสั่งต่อไปนี้จะสร้างคีย์แท็บ (tabsrv-runas.keytab) โดยใช้เครื่องมือ ktutil:

    ktutil
    ktutil:  addent -password -p tabsrv@EXAMPLE.COM -k 2 -e <encryption scheme>

    สคีมาการเข้ารหัสสำหรับคำสั่งนี้ ได้แก่ RC4-HMAC, aes128-cts-hmac-sha1-96 และ aes256-cts-hmac-sha1-96 ปรึกษาทีมไอทีของคุณเกี่ยวกับสคีมาการเข้ารหัสที่ถูกต้องสำหรับสภาพแวดล้อมและแหล่งข้อมูลของคุณ

    ktutil:  wkt tabsrv-runas.keytab

    Tableau Server จะใช้บัญชีบริการ RunAs และคีย์แท็บที่เกี่ยวข้องเพื่อตรวจสอบสิทธิ์ และทำการเชื่อมต่อโดยตรงกับฐานข้อมูล

  3. คัดลอกคีย์แท็บลงในไดเรกทอรีข้อมูลของ Tableau Server และตั้งค่าความเป็นเจ้าของและสิทธิ์ที่เหมาะสม ผู้ใช้ที่ไม่ได้รับสิทธิ์ควรอ่านคีย์แท็บได้ ตามค่าเริ่มต้น ผู้ใช้ที่ไม่ได้รับสิทธิ์ที่สร้างโดย Tableau Setup คือ tableau

    หากคุณกำลังเรียกใช้การปรับใช้หลายโหนด คุณต้องเรียกใช้คำสั่งต่อไปนี้บนแต่ละโหนดในคลัสเตอร์:

    mkdir /var/opt/tableau/tableau_server/keytab                
    sudo cp -p tabsrv-runas.keytab /var/opt/tableau/tableau_server/keytab                 
    sudo chown $USER /var/opt/tableau/tableau_server/keytab/tabsrv-runas.keytab                  
    chgrp tableau /var/opt/tableau/tableau_server/keytab/tabsrv-runas.keytab                  
    chmod g+r /var/opt/tableau/tableau_server/keytab/tabsrv-runas.keytab 
    
  4. เรียกใช้คำสั่ง TSM ต่อไปนี้เพื่อเปิดใช้งานการเข้าถึง RunAs, กำหนดบัญชีบริการ RunAs และเชื่อมโยงไฟล์คีย์แท็บกับบัญชีบริการ

    tsm configuration set -k features.RunAsAuthLinux -v true --force-keys
    tsm configuration set -k native_api.datasource_runas_principal -v tabsrv@EXAMPLE.COM --force-keys
    tsm configuration set -k native_api.datasource_runas_keytab_path -v /var/opt/tableau/tableau_server/keytab/tabsrv-runas.keytab --force-keys			
  5. เรียกใช้คำสั่ง TSM ต่อไปนี้เพื่อปรับใช้การเปลี่ยนแปลงกับการปรับใช้ Tableau Server:

    tsm pending-changes apply

    หากการเปลี่ยนแปลงที่รอดำเนินการจำเป็นต้องรีสตาร์ทเซิร์ฟเวอร์ คำสั่ง pending-changes apply จะแสดงข้อความแจ้งเพื่อแจ้งให้คุณทราบว่าจะรีสตาร์ท โดยข้อความแจ้งนี้จะปรากฏขึ้นแม้ว่าเซิร์ฟเวอร์จะหยุดทำงาน แต่ในกรณีนี้จะไม่มีการรีสตาร์ท คุณสามารถระงับข้อความแจ้งได้โดยใช้ตัวเลือก --ignore-prompt แต่การดำเนินการนี้จะไม่เปลี่ยนลักษณะการรีสตาร์ท หากการเปลี่ยนแปลงไม่จำเป็นต้องใช้การรีสตาร์ท ระบบจะปรับใช้การเปลี่ยนแปลงนั้นโดยไม่มีข้อความแจ้ง หากต้องการข้อมูลเพิ่มเติม โปรดดู tsm pending-changes apply

ขอบคุณสำหรับข้อเสนอแนะของคุณส่งข้อเสนอแนะของคุณเรียบร้อยแล้ว ขอขอบคุณ