Tableau Resource Monitoring Tool (RMT) 中基於 PAM 的驗證

套用到: Tableau Advanced Management

從版本 2025.2 開始,系統已為委派使用者新增基於 PAM 的驗證。這可讓客戶根據需要實作自訂驗證邏輯。

先前,RMT 僅依賴 su 進行委託使用者驗證,若 Tableau Server 和 RMT 之間的基礎 Linux 驗證原則不同,可能會導致不一致。透過新增對 PAM 的支援,RMT 可與 Tableau Server 的驗證流程保持一致,從而提供更大的靈活性和控制力。

RMT 使用本機(RMT 特定的密碼)或委派(基於作業系統的認證)驗證進行使用者存取,其中委派驗證要求使用者提供其標準網路密碼才能登入。驗證透過其 Web 介面或 rmtadmin 命令列工具在 RMT 伺服器上進行設定,可以在其中新增使用者或變更其現有的驗證模式。正確的設定包括確保正確輸入 username(委託驗證時無需輸入網域),以及將正確的 RMT 伺服器角色指派給使用者。有關伺服器角色的資訊,請參閱在 Tableau Resource Monitoring Tool(RMT) 中管理使用者和驗證

RMT 中基於 PAM 的驗證的工作原理

RMT 對委派使用者進行驗證時,它遵循與 Tableau Server 相同的驗證流程:

  1. 自訂 PAM 服務 (tableau)

    RMT 會首先嘗試使用名為 tableau 的自訂 PAM 服務對使用者進行驗證,若該服務存在於:

    /etc/pam.d/tableau

    這可讓客戶定義自己的驗證原則。

  2. 預設 PAM 登入服務

    若未定義 tableau 服務,RMT 將回退為使用標準 PAM 登入服務進行驗證。

  3. 基於 su 的驗證

    若兩次 PAM 嘗試都失敗,RMT 最後會嘗試使用 su 進行驗證。

    這是 2025.2 之前版本中的預設驗證方法,並且仍然有效,以確保與早期 RMT 版本和現有環境的回溯相容性。

如何在 RMT 中啟用基於 PAM 的驗證

若要在 RMT 中使用基於 PAM 的驗證,必須滿足以下先決條件:

  1. 1.安裝 pamtester

    RMT 使用 pamtester 執行非互動式 PAM 驗證。

    Debian/Ubuntu:

    sudo apt install pamtester

    RHEL/CentOS:

    sudo yum install pamtester

  2. 設定 pamtester 的權限

    pamtester 二進位必須被授與適當的權限才能進行驗證:

    sudo chown root:root /usr/bin/pamtester
    sudo chmod u+s /usr/bin/pamtester

    setuid 權限 (u+s) 確保 pamtester 可以讀取 /etc/shadow,這是大多數 PAM 模組執行密碼檢查所必需的。

實作自訂 PAM 服務(可選)

若要實作自己的自訂驗證邏輯,可以定義名為 tableau 的 PAM 服務:

 /etc/pam.d/tableau
返回頂端
感謝您的意見反應!已成功提交您的意見回饋。謝謝!