Steg 4: Säkerhetslista med ingångs- och utgångsplatser

Gäller för: Tableau Data Management, Tableau Prep

Det här ämnet beskriver de regler som gäller för den här funktionen och hur du gör en säkerhetslista med katalogerna i nätverket.

Flödesingång- och utgångsanslutningar kan behöva anslutas till databaser eller filer i katalogerna i nätverket. Du måste göra en säkerhetslista med de kataloger som du vill tillåta åtkomst till. Ingångs- och utgångsanslutningar tillåts endast för att ansluta till data som finns i säkerhetslistan. Som standard är inga anslutningar tillåtna.

Obs! Du kan fortfarande publicera flöden och all data som är inbäddade i flödesfilen (tflx) till Tableau Server, men flödet kommer inte att köras om katalogerna inte ingår i organisationens säkerhetslista.

Hur du gör en säkerhetslista med ingångs- och utgångsplatser

Följande regler gäller och måste beaktas när den här inställningen konfigureras:

  • Katalogsökvägarna måste vara tillgängliga för Tableau Server. Dessa sökvägar verifieras under serverstart och vid flödeskörningstid och verifieras inte vid publicering av flödet i Tableau Server.

  • Nätverkssökvägar måste vara absoluta och får inte innehålla jokertecken eller andra symboler för bläddringskontroll. Till exempel är \\myhost\myShare\* or \\myhost\myShare* ogiltiga sökvägar som skulle medföra att alla sökvägar blir ogiltiga. Det rätta sättet att lägga till en mapp som säker under myShare är \\myhost\myShare eller \\myhost\\myShare\.

    Obs! Konfigurationen \\myhost\myShare tillåter inte \\myhost\myShare1. Om du vill lägga till båda dessa mappar i listan över säkra mappar som \\myhost\myShare; \\myhost\myShare1.

  • Windows:

    • Värdet kan vara antingen *, (till exempel tsm configuration set -k maestro.input.allowed_paths -v "*") eller en angiven lista över nätverkssökvägar som avgränsas med (;). Om du anger en lista med katalogsökvägar ska du se till att du anger särskilda kataloger istället för roten till den delade filen.

    • Om sökvägen innehåller mellanslag eller specialtecken måste du antingen använda enkla eller dubbla citattecken. Om du använder enkla eller dubbla citattecken beror på vilket skal du använder.

    • Inga lokala katalogsökvägar tillåts även om värdet anges som *.

    • För att spara flödesutmatning till en nätverksdelning måste du först konfigurera en körning som användare(Länken öppnas i ett nytt fönster)-tjänstkonto på Tableau Server. Du kan inte spara flöden till en nätverksdelning med systemets standardkonto. Konfigurera sedan målkatalogen i nätverksresursen för behörigheten Fullständig kontroll för det Kör som användare-konto du skapade.

      Beroende på hur din organisation hanterar behörigheter för kapslade mappar kanske du måste bevilja ytterligare behörigheter i mapphierarkin, med minst behörighet för läsa, skriva, köra, radera och listmapp, för att ge Kör som användare-kontot åtkomst till målmappen.

  • Linux:

    • Värdet kan vara antingen *, (till exempel tsm configuration set -k maestro.input.allowed_paths -v "*") som betyder alla sökvägar, inklusive lokala (med undantag för vissa systemsökvägar som konfigureras med ”native_api.internal_disallowed_paths”), eller en lista över sökvägar som avgränsas med (;).

    • Du måste använda en kernelversion som är lika med eller senare än 4.7. Säker notering till eller från en nätverksdelning stöds inte på kernelversioner tidigare än 4.7. I tidigare versioner, när utdata skrivs i en nätverksresurs, misslyckas hyper med att mata ut filer, vilket resulterar i att flöden misslyckas vid körning. Flödeskörningar misslyckas med inläsning av indatafiler från en nätverksdelning i tidigare versioner. För att kontrollera kernel-versionen skriver du in kommandot uname -r i Linux-terminalen. Detta visar den fullständiga versionen av kernel som du kör på Linux-datorn. Observera att för Red Hat Enterprise Linux är kernel-version 4.7 och senare endast tillgänglig med Red Hat Enterprise Linux version 8.

    • För att spara flödesutmatning till en nätverksresurs måste det lokala Linux-kontot som har tillgång till Tableau Server-resurser få fullständig kontrollbehörighet till nätverksresursens målkatalog. Om en sökväg finns med både i listan över tillåtna flöden och i listan internal_disallowed gäller internal_disallowed.
      Monteringspunkterna för både indata- och utdatasökvägar som används av flöden måste konfigureras med hjälp av konfigurationsnyckeln native_api.unc_mountpoints. Exempel:
      tsm configuration set -k native_api.unc_mountpoints -v 'mountpoints'
      Mer information om hur du konfigurerar detta finns i följande artikel i Tableaus kunskapsbas: Tableau Server på Linux – Ansluta till en delad Windows-katalog(Länken öppnas i ett nytt fönster) (på engelska).

Använd följande kommandon för att skapa en lista med tillåtna nätverkssökvägar:

För ingångsanslutningar:

tsm configuration set -k maestro.input.allowed_paths -v your_networkdirectory_path_1;your_networkdirectory_path_2

tsm pending-changes apply

För utgångsanslutningar:

tsm configuration set -k maestro.output.allowed_paths -v your_networkdirectory_path_1;your_networkdirectory_path_2

tsm pending-changes apply

 

Viktigt:
Dessa kommandon skriver över befintlig information och ersätter den med den nya information som du angav. Om du vill lägga till en ny plats i en befintlig lista måste du tillhandahålla en lista med alla befintliga platser och den nya som du vill lägga till. Använd följande kommandon för att se den aktuella listan över ingångs- och utgångsplatser:

tsm configuration get -k maestro.input.allowed_paths
tsm configuration get -k maestro.output.allowed_paths

Nästa steg

Steg 5: valfria serverkonfigurationer

Vem kan göra detta?

Medlemmar i den lokala datorns administratörsgrupp kan köra tsm-kommandon i Windows.

I Linux kan medlemmar i tsmadmin-gruppen köra tsm-kommandon. tsmadmin-gruppen kan konfigureras med tsm.authorized.groups-inställningen.

Tillbaka till toppen
Tack för din feedback!Din feedback har skickats in. Tack!