'서비스 계정' 서비스 계정 변경

환경 및 데이터 액세스 요구 사항에 따라 ‘서비스 계정’ 서비스 계정을 변경하는 것이 좋거나 변경해야 할 수 있습니다. '서비스 계정' 서비스 계정을 변경하는 두 가지 주요 시나리오가 있습니다.

  • 기본 서비스 계정 로컬 계정(NetworkService)을 도메인 계정으로 바꿉니다. 데이터 원본의 대부분이 Active Directory(Windows NT 통합 보안)의 컨텍스트에서 인증되는 환경을 운영 중인 경우 로컬 계정(NetworkService)이 아닌 도메인 계정을 사용하도록 '서비스 계정' 서비스 계정을 구성해야 합니다.
  • 기존 도메인 '서비스 계정' 서비스 계정을 다른 계정으로 변경합니다.

이 항목에서는 두 시나리오를 모두 설명하고 '서비스 계정' 서비스 계정 암호를 업데이트하는 방법을 설명합니다.

'서비스 계정' 서비스 계정에 사용하는 계정은 로컬 관리자 또는 도메인 관리자 계정의 멤버가 아니어야 합니다. 대신, '서비스 계정' 서비스 계정의 관리자가 아닌 도메인 사용자 계정을 사용하는 것이 좋습니다. 이러한 관리자 그룹의 멤버가 아닌 도메인 계정을 사용하는 것이 보안상 좋으며 특정 데이터 원본 및 폴더에 대한 액세스를 방지하는 데 도움이 될 수 있습니다. '서비스 계정' 서비스 계정을 만드는 경우 적용할 수 있는 모범 사례는 '서비스 계정' 서비스 계정 만들기를 참조하십시오.

참고: Tableau Server 버전 2023.3.x부터 '서비스 계정' 서비스 계정이 도메인 계정을 사용하도록 구성된 경우 관리자는 tsm configuration set 명령을 사용하여 파일 액세스에 대한 서버 허용 목록도 구성해야 합니다. 허용 목록을 사용하면 파일 기반 데이터 원본 액세스가 지정된 로컬 또는 공유 디렉터리 경로로 제한됩니다. 서버 허용 목록을 구성하는 단계와 자세한 내용은 보안 강화 검사 목록을 참조하십시오.

기본 서비스 계정 로컬 계정(NetworkService)을 도메인 계정으로 바꾸기

기본 NetworkService 계정을 도메인 계정으로 바꾸려면 '서비스 계정' 서비스 계정에 전용 계정을 사용하는 것이 좋습니다. 다음 단계를 수행합니다.

  1. Active Directory에서 '서비스 계정' 서비스 계정 만들기
  2. '서비스 계정' 서비스 계정을 사용하도록 Tableau Server 구성

'서비스 계정' 서비스 계정 만들기

다음 최상의 방법을 따르십시오.

  • '서비스 계정' 서비스 계정이 조직의 사용자를 대신하여 데이터에 액세스하는 방법을 이해하는 것이 중요합니다. 일부 경우 사용자가 실수로 자신의 사용자 계정에 명시적으로 사용 권한이 부여되지 않은 데이터에 액세스할 수 있습니다. '서비스 계정' 서비스 계정을 만들기 전에 '서비스 계정' 서비스 계정으로 데이터 액세스를 검토하십시오.
  • Active Directory에서 Tableau Server '서비스 계정' 서비스 계정에 대한 전용 계정을 만듭니다. 즉, 기존 계정을 사용하지 마십시오. 전용 계정을 사용하면 Tableau Server에 대한 사용 권한이 있는 데이터 리소스에 Tableau Server '서비스 계정' 서비스 계정만 액세스할 수 있습니다.
  • ‘서비스 계정’ 서비스 계정은 Active Directory의 사용자 및 그룹 멤버 자격을 쿼리하는 데 사용됩니다. 기본적으로 NetworkServices 계정과 기본 도메인 사용자에게는 Active Directory 쿼리를 위한 사용 권한이 포함됩니다. ‘서비스 계정’ 서비스 계정에 대한 읽기 또는 쿼리 사용 권한을 제한하지 마십시오.
  • 도메인 관리 권한이 있는 계정은 사용하지 마십시오. 특히, Active Directory에서 계정을 만들 때는 도메인 사용자 그룹에 계정을 만드십시오. 만든 계정을 Active Directory 보안 그룹에 추가하지 마십시오. 계정에 대한 사용 권한이 불필요하게 상승할 수 있습니다.
  • 디렉터리의 데이터 원본에 대한 사용 권한을 이 한 계정에 부여합니다. '서비스 계정' 서비스 계정으로 사용할 계정에는 해당하는 데이터 원본 및 네트워크 공유에 대한 읽기 액세스 권한만 필요합니다.
  • 조직의 사용자가 스마트 카드를 사용하여 인증하는 경우 '서비스 계정' 서비스 계정에 대한 스마트 카드 로그온 옵션을 사용하지 않도록 설정하십시오.
  • Tableau Server를 시스템 드라이브가 아닌 드라이브에 설치한 경우 '서비스 계정' 서비스 계정의 추가 사용 권한을 허용하도록 시스템 드라이브를 구성해야 합니다. 시스템 드라이브는 Windows가 설치된 드라이브입니다. 예를 들어 C:/ 드라이브에 Windows를 설치한 경우 C:/가 시스템 드라이브입니다. 다른 드라이브(D:/, E:/ 등)에 Tableau Server를 설치한 경우 시스템 드라이브에 대한 '서비스 계정' 서비스 계정의 사용 권한을 구성해야 합니다. 자세한 내용은 필수적인 '서비스 계정' 서비스 계정 설정을 참조하십시오.

Tableau Server에서 '서비스 계정' 서비스 계정 구성

Active Directory에서 '서비스 계정' 서비스 계정을 만든 후에 해당 계정을 사용하도록 Tableau Server를 구성합니다.

TSM 웹 UI를 사용하여 '서비스 계정' 서비스 계정을 처음으로 구성합니다.

'서비스 계정' 서비스 계정을 구성하려면

  1. 브라우저에서 TSM을 엽니다.

    https://<tsm-computer-name>:8850. 자세한 내용은 Tableau 서비스 관리자 웹 UI에 로그인을 참조하십시오.

  2. 보안 탭을 클릭한 다음 '서비스 계정' 서비스 계정 탭을 클릭합니다.

  3. 사용자 계정을 선택한 다음 서비스 계정의 사용자 이름 및 비밀번호를 입력합니다. 도메인의 이름을 domain\account 형식으로 지정합니다. 여기서, 도메인 이름은 사용자가 상주하는 도메인의 NetBIOS 이름입니다.

  4. 저장을 클릭하여 사용자 이름 및 비밀번호를 확인합니다.

  5. 작업을 마쳤으면 보류 중인 변경 내용을 클릭한 다음 변경 내용 적용 및 다시 시작을 클릭합니다.

'서비스 계정' 서비스 계정을 업데이트하면 Tableau Server가 입력한 계정의 로컬 컴퓨터에 대한 사용 권한을 자동으로 구성합니다.

기존 도메인 '서비스 계정' 서비스 계정을 다른 계정으로 변경

기존 도메인 '서비스 계정' 서비스 계정을 다른 계정으로 변경하려면 새 계정에 사용 권한을 적용해야 합니다. 새 '서비스 계정' 서비스 계정에 사용 권한을 적용하려면 먼저 계정에 기본 NetworkService 계정을 적용하여 사용 권한을 재설정해야 합니다.

시작하기 전에 '서비스 계정' 서비스 계정으로 사용하려는 새 계정이 이전에 '서비스 계정' 서비스 계정 만들기 섹션에서 설명한 모범 사례를 준수하는지 확인합니다.

이 절차에서는 Tableau Server 서비스를 두 번 다시 시작해야 하므로, 업무 외 시간에 이 절차를 실행하십시오.

TSM 웹 인터페이스 사용
  1. 브라우저에서 TSM을 엽니다.

    https://<tsm-computer-name>:8850. 자세한 내용은 Tableau 서비스 관리자 웹 UI에 로그인을 참조하십시오.

  2. 보안 탭을 클릭한 다음 '서비스 계정' 서비스 계정 탭을 클릭합니다.

  3. 사용자 계정에서 NT Authority\NetworkService를 선택합니다.

  4. 저장을 클릭합니다.

  5. 작업을 마쳤으면 보류 중인 변경 내용을 클릭한 다음 변경 내용 적용 및 다시 시작을 클릭합니다.

  6. 서버가 다시 시작되면 TSM을 열고 '서비스 계정' 서비스 계정 탭으로 이동합니다.

  7. 사용자 계정을 선택한 다음 서비스 계정의 사용자 이름 및 비밀번호를 입력합니다. 도메인의 이름을 domain\account 형식으로 지정합니다. 여기서, 도메인 이름은 사용자가 상주하는 도메인의 NetBIOS 이름입니다.

  8. 저장을 클릭하여 사용자 이름 및 비밀번호를 확인합니다.

  9. 작업을 마쳤으면 보류 중인 변경 내용을 클릭한 다음 변경 내용 적용 및 다시 시작을 클릭합니다.

  10. 이전 계정에 대한 사용 권한을 취소합니다. '서비스 계정' 서비스 계정 사용 권한 취소를 참조하십시오.

TSM CLI 사용
  1. '서비스 계정' 서비스 계정을 NetworkService로 재설정합니다. 다음 명령을 실행합니다.

    tsm configuration set -k service.runas.username -v "NT AUTHORITY\NetworkService"

  2. 다음 명령을 실행하여 변경 사항을 저장하고 다시 시작합니다.

    tsm pending-changes apply

  3. '서비스 계정' 서비스 계정을 새 계정으로 설정합니다. 다음 명령을 실행합니다.

    tsm configuration set -k service.runas.username -v <domain\username>

    tsm configuration set -k service.runas.password -v "<password>"

    문자열의 특수 문자가 올바르게 처리되도록 하려면 암호를 큰따옴표로 묶어야 합니다. 저장될 암호를 보려면 다음 명령을 실행합니다.

    tsm pending-changes list

    Active Directory에서 암호의 유효성을 확인합니다. 유효하면 암호가 암호화되어 저장됩니다. TSM은 성공 또는 실패 사실을 보고하지 않습니다.

  4. 다음 명령을 실행하여 저장하고 다시 시작합니다.

    tsm pending-changes apply

    문제 해결:

    • 서버가 시작되었는지 확인합니다. 성능이 저하된 상태이면 잘못된 암호를 입력했을 수 있습니다. configuration get 명령을 실행하여 저장된 암호를 확인합니다. 이 명령은 셸에서 암호를 해독하여 표시합니다. 다음 명령을 실행합니다.

      tsm configuration get -k service.runas.password

      이전 암호가 표시되면 유효한 암호를 입력하지 않았습니다.

    • 올바른 암호를 입력하고(3단계 참조), 다음 명령을 실행하여 저장하고 다시 시작합니다.

      tsm pending-changes apply

  5. 이전 계정에 대한 사용 권한을 취소합니다. '서비스 계정' 서비스 계정 사용 권한 취소를 참조하십시오.

'서비스 계정' 서비스 계정 암호 업데이트

Active Directory에서 '서비스 계정' 서비스 계정 암호가 업데이트된 경우 Tableau Server에서 암호를 업데이트해야 합니다. '서비스 계정' 서비스 계정 암호는 Tableau Server에 암호화되어 저장됩니다. 자세한 내용은 서버 암호 관리를 참조하십시오.

분산 배포 환경에서 Tableau Server를 실행하는 경우 클러스터의 초기 노드에서만 TSM으로 암호를 업데이트하면 됩니다. TSM이 이 구성을 각 노드에 자동으로 배포합니다.

TSM 웹 인터페이스 사용
  1. 브라우저에서 TSM을 엽니다.

    https://<tsm-computer-name>:8850. 자세한 내용은 Tableau 서비스 관리자 웹 UI에 로그인을 참조하십시오.

  2. 보안 탭을 클릭한 다음 '서비스 계정' 서비스 계정 탭을 클릭합니다.

  3. 사용자 계정에서 서비스 계정의 암호를 입력합니다.

  4. 저장을 클릭하여 암호를 확인합니다.

  5. 작업을 마쳤으면 보류 중인 변경 내용을 클릭한 다음 변경 내용 적용 및 다시 시작을 클릭합니다.

TSM CLI 사용
  1. 새 비밀번호를 설정합니다. 다음 명령을 실행합니다.

    tsm configuration set -k service.runas.password -v "<password>"

    문자열의 특수 문자가 올바르게 처리되도록 하려면 암호를 큰따옴표로 묶어야 합니다. 특수 문자가 올바르게 이스케이프 처리되었는지 확인하려면 다음 명령을 실행하여 저장될 암호를 표시합니다.

    tsm pending-changes list

    Active Directory에서 암호의 유효성을 확인합니다. 유효하면 암호가 암호화되어 저장됩니다. TSM은 성공 또는 실패 사실을 보고하지 않습니다.

  2. 다음 명령을 실행하여 저장하고 다시 시작합니다.

    tsm pending-changes apply

    문제 해결:

    • 서버가 시작되었는지 확인합니다. 성능이 저하된 상태이면 잘못된 암호를 입력했을 수 있습니다. configuration get 명령을 실행하여 저장된 암호를 확인합니다. 이 명령은 셸에서 암호를 해독하여 표시합니다. 다음 명령을 실행합니다.

      tsm configuration get -k service.runas.password

      이전 암호가 표시되면 유효한 암호를 입력하지 않았습니다.

    • 올바른 암호를 입력하고(1단계 참조), 다음 명령을 실행하여 저장하고 다시 시작합니다.

      tsm pending-changes apply

문제 해결: Microsoft 서비스 콘솔에서 암호 업데이트

경우에 따라 '서비스 계정' 서비스 계정 암호를 업데이트한 후 서비스가 실패할 수 있습니다. 이 경우 Tableau Server 서비스 관리자 서비스의 암호를 수동으로 업데이트해야 할 수 있습니다. Microsoft 서비스 관리 콘솔에서 암호를 업데이트합니다.

분산 배포에서 Tableau Server를 실행하는 경우 클러스터의 각 노드에서 다음 절차를 수행해야 합니다.

  1. Tableau Server를 중지합니다.

    • TSM CLI를 사용하려면 다음 명령을 실행합니다.

      tsm stop

    • TSM 웹 UI를 사용하려면 페이지 오른쪽 상단에서 상태 옆에 있는 드롭다운 목록을 클릭하고 Tableau Server 중지를 클릭합니다.

  2. Tableau Server를 실행 중인 Windows 컴퓨터에서 서비스 MMC 스냅인을 엽니다.

  3. Tableau Server 서비스 관리자 서비스를 두 번 클릭하여 속성 페이지를 엽니다.

  4. Tableau Server 서비스 관리자 속성 페이지에서 로그온 탭을 클릭한 후 서비스 계정의 암호를 입력합니다.

  5. 적용을 클릭한 다음 확인을 클릭합니다.

  6. 서비스 이름을 마우스 오른쪽 단추로 클릭하고 다시 시작을 클릭하여 Tableau Server 서비스 관리자를 다시 시작합니다.

  7. Tableau Server를 시작합니다.

    • TSM CLI를 사용하려면 다음 명령을 실행합니다.

      tsm start

    • TSM 웹 UI를 사용하려면 페이지 오른쪽 상단에서 상태 옆에 있는 드롭다운 목록을 클릭하고 Tableau Server 시작을 클릭합니다.

관련 작업

'서비스 계정' 서비스 계정은 특히, 원격 데이터 액세스와 관련된 작업을 비롯하여 Tableau Server에서 수행되는 많은 작업의 중심입니다. 액세스 오류를 방지하려면 여기서 작업을 검토하고 시나리오에 해당하는 작업의 링크를 누르십시오.

  • Active Directory 도메인이 여러 개인 조직에서 Tableau Server를 실행하는 경우 Active Directory 배포를 위한 도메인 신뢰 요구 사항을 참조하십시오.
  • Kerberos Single Sign-On을 사용하려면 '서비스 계정' 서비스 계정과 관련된 추가 구성이 필요합니다. Tableau Server에서 Kerberos Single Sign-On을 사용하려면 Kerberos를 참조하십시오.
  • 가장을 사용하려면 '서비스 계정' 서비스 계정과 관련된 추가 구성이 필요합니다. Microsoft SQL Server에서 가장을 배포하고 사용하려면 내장된 SQL 자격 증명으로 가장을 참조하십시오.
  • 비시스템 드라이브에 Tableau Server를 설치한 경우 '서비스 계정' 서비스 계정에 대한 일부 사용 권한을 수동으로 설정해야 합니다. 자세한 내용은 필수적인 '서비스 계정' 서비스 계정 설정을 참조하십시오.
  • '서비스 계정' 서비스 계정을 변경한 경우 이전 계정에 대한 사용 권한을 취소하는 것이 좋습니다. '서비스 계정' 서비스 계정 사용 권한 취소를 참조하십시오.
  • 조직에서 정방향 프록시 솔루션을 사용하는 경우 Tableau Server의 로컬 LAN 설정을 '서비스 계정' 서비스 계정으로 재구성해야 할 수 있습니다. 자세한 내용은 정방향 프록시 서버 구성을 참조하십시오. 이 시나리오에서 '서비스 계정' 서비스 계정이 제품 키 작업을 위한 Tableau Server Administrative Controller의 로그온 계정으로 임시로 구성되어야 합니다. 자세한 내용은 정방향 프록시에서 제품 키 작업 구성을 참조하십시오.
  • 회사에서 Resource Monitoring Tool을 사용하는 경우 '서비스 계정' 서비스 계정을 사용하여 하드웨어 정보를 인증하고 수집할 수 있습니다. '서비스 계정' 계정을 업데이트할 때 RMT 환경에서 RMT와 Tableau Server 간의 연결을 확인합니다.
    1. 관리자로 RMT에 로그인합니다.
    2. Admin(관리) > Environments(환경)을 통해 환경 페이지로 이동합니다.
    3. 업데이트된 환경에 대해 Edit(편집)을 클릭합니다.
    4. Servers(서버) 목록에서 각 서버의 Agent Service(에이전트 서비스)가 Connected(연결됨)으로 표시되는지 확인합니다. Connected(연결됨) 상태 위로 마우스오버하면 마지막으로 수신된 하트비트 메시지의 타임스탬프가 표시됩니다.
피드백을 제공해 주셔서 감사합니다!귀하의 피드백이 제출되었습니다. 감사합니다!