Op PAM gebaseerde verificatie in Resource Monitoring Tool van Tableau (RMT)

Is van toepassing op: Tableau Advanced Management

Vanaf versie 2025.2 is op PAM gebaseerde verificatie voor gedelegeerde gebruikers toegevoegd. Dit stelt klanten in staat om, indien nodig, aangepaste verificatielogica te implementeren.

Voorheen was RMT uitsluitend gebaseerd op su voor gedelegeerde gebruikersverificatie. Dit leidde soms tot inconsistenties in geval van verschillend onderliggend Linux-verificatiebeleid tussen Tableau Server en RMT. Door ondersteuning voor PAM toe te voegen, sluit RMT aan bij de verificatieflow van Tableau Server, wat meer flexibiliteit en controle biedt.

RMT maakt gebruik van lokale (RMT-specifieke wachtwoorden) of gedelegeerde (op het besturingssysteem gebaseerde referentie) verificatie voor gebruikerstoegang. Bij gedelegeerde verificatie moeten gebruikers hun standaard netwerkwachtwoord opgeven om in te loggen. Verificatie wordt geconfigureerd op de RMT-server via de webinterface of via de opdrachtregeltool rmtadmin waarmee gebruikers kunnen worden toegevoegd of waarmee hun bestaande verificatiemethoden kunnen worden gewijzigd. Een correcte configuratie houdt onder meer in dat ervoor wordt gezorgd dat username correct is ingevoerd (zonder domein voor gedelegeerde verificatie) en dat de juiste RMT-serverrollen aan gebruikers zijn toegewezen. Zie Gebruikers en verificatie beheren in Resource Monitoring Tool van Tableau (RMT) voor informatie over serverrollen.

Hoe werkt op PAM gebaseerde verificatie in RMT?

Wanneer RMT een gedelegeerde gebruiker verifieert, wordt dezelfde verificatieflow gevolgd als in Tableau Server:

  1. Aangepaste PAM-service (Tableau)

    RMT probeert eerst de gebruiker te verifiëren met behulp van een aangepaste PAM-service genaamd tableau, indien aanwezig op:

    /etc/pam.d/tableau

    Dit stelt klanten in staat om hun eigen verificatiebeleid te definiëren.

  2. Standaard PAM-inlogservice

    Als de Tableau-service niet is gedefinieerd, valt RMT terug op de standaard PAM-inlogservice voor verificatie.

  3. Op su gebaseerde verificatie

    Als beide PAM-pogingen mislukken, zal RMT uiteindelijk proberen te verifiëren met behulp van su.

    Dit is de standaard verificatiemethode in versies vóór 2025.2 en deze methode blijft geldig om compatibiliteit met eerdere RMT-versies en bestaande omgevingen te garanderen.

Op PAM gebaseerde verificatie inschakelen in RMT

Er moet aan de volgende voorwaarden worden voldaan om op PAM gebaseerde verificatie te gebruiken in RMT:

  1. 1. Installeer pamtester

    RMT gebruikt pamtester om niet-interactieve PAM-verificatie uit te voeren.

    Debian/Ubuntu:

    sudo apt install pamtester

    RHEL/CentOS:

    sudo yum install pamtester

  2. Stel machtigingen in voor pamtester

    Het binaire bestand pamtester moet de juiste machtigingen krijgen om verificatie mogelijk te maken:

    sudo chown root:root /usr/bin/pamtester
    sudo chmod u+s /usr/bin/pamtester

    De machtiging setuid (u+s) zorgt ervoor dat /etc/shadow gelezen kan worden door pamtester , wat voor de meeste PAM-modules vereist is om wachtwoordcontroles uit te voeren.

Een aangepaste PAM-service implementeren (optioneel)

Als u uw eigen aangepaste verificatielogica wilt implementeren, kunt u een PAM-service met de naam tableau definiëren:

 /etc/pam.d/tableau
Terug naar boven
Bedankt voor uw feedback.De feedback is verzonden. Dank u wel.