Tableau Resource Monitoring Tool (RMT) 中基于 PAM 的身份验证

适用于: Tableau Advanced Management

从版本 2025.2 开始,为委派用户添加了基于 PAM 的身份验证。这允许客户在需要时实现自定义身份验证逻辑。

以前,RMT 仅依赖于 su 进行委派用户身份验证,如果 Tableau Server 和 RMT 之间的底层 Linux 身份验证策略不同,则可能会导致不一致。通过增加对 PAM 的支持,RMT 与 Tableau Server 的身份验证流程保持一致,提供了更大的灵活性和控制力。

RMT 使用本地(特定于 RMT 的密码)或委派(基于操作系统的凭据)身份验证进行用户访问,委派身份验证要求用户提供其标准网络密码进行登录。身份验证通过其 Web 界面或 rmtadmin 命令行工具在 RMT Server 上配置,可以在其中添加用户或更改其现有的身份验证模式。正确的配置包括确保 username 正确输入(没有用于委派身份验证的域)并且为用户分配了正确的 RMT Server 角色。有关服务器角色的信息,请参见在 Tableau Resource Monitoring Tool (RMT) 中管理用户和身份验证

基于 PAM 的身份验证在 RMT 中的工作原理

当 RMT 对委派用户进行身份验证时,它遵循与 Tableau Server 相同的身份验证流程:

  1. 自定义 PAM 服务 (tableau)

    RMT 将首先尝试使用名为 tableau 的自定义 PAM 服务(如果出现在以下位置)对用户进行身份验证:

    /etc/pam.d/tableau

    这允许客户定义自己的身份验证策略。

  2. 默认 PAM 登录服务

    如果未定义 tableau 服务,RMT 将回退为使用标准 PAM 登录服务进行身份验证。

  3. 基于 su 的身份验证

    如果两次 PAM 尝试均失败,RMT 最终将尝试使用 su 进行身份验证。

    这是 2025.2 之前版本中的默认身份验证方法,并且将继续有效,以确保与早期 RMT 版本和现有环境的向后兼容性。

如何在 RMT 中启用基于 PAM 的身份验证

若要在 RMT 中使用基于 PAM 的身份验证,必须满足以下先决条件:

  1. 1.安装 pamtester

    RMT 使用 pamtester 执行非交互式 PAM 身份验证。

    Debian/Ubuntu:

    sudo apt install pamtester

    RHEL/CentOS:

    sudo yum install pamtester

  2. 设置 pamtester 权限

    必须为 pamtester 二进制文件授予适当的权限才能允许身份验证:

    sudo chown root:root /usr/bin/pamtester
    sudo chmod u+s /usr/bin/pamtester

    setuid 权限 (u+s) 确保 pamtester 可以读取 /etc/shadow,这是大多数 PAM 模块执行密码检查所必需的。

实现自定义 PAM 服务(可选)

如果您希望实现自己的自定义身份验证逻辑,您可以定义一个名为 tableau 的 PAM 服务:

 /etc/pam.d/tableau
回到顶部
感谢您的反馈!您的反馈已成功提交。谢谢!