Kerberos 疑难解答 - Tableau

相关文章推荐

重感情的羊肉串 · Visual Studio ...· 6 月前 ·

成熟的遥控器 · 虚拟机系列 | Microsoft Azure· 7 月前 ·

近视的遥控器 · 异步方法中map、forEach和for循环 ...· 1 年前 ·

愤怒的显示器 · C# 反射机制 - 滴水瓦 - 博客园· 1 年前 ·

爱笑的大脸猫 · OpenFileDialog 类 ...· 1 年前 ·

</noscript><div id="app" class="wrapper"><header id="tableau-help-article-header" class="container--full-width quick-help-header"><div class="container--centered"><div class="header__mobile-menu quick-help-hidden"><menu-tree-toggle/></div><div class="header__logo quick-help-hidden"><a href="https://www.tableau.com/zh-cn/"><img src="./Resources/tableau-logo.png" class="header__logo__img" alt="Tableau"/></a></div><div class="header__search"><search-header-help placeholder="搜索"/></div></div></header><div class="container--navigation-top quick-help-hidden content-only-hidden"><div id="help-subheader" class="subheader print-hidden"><div class="container--centered"><h1 class="heading--subheader">Windows 版 Tableau Server 帮助</h1></div></div><div class="container--top-links"><div class="container--centered container--breadcrumbs"><div><breadcrumb-links-help/></div></div><div id="help-container-menu-headings" class="container--menu-headings"><nav class="nav-medium-screen"><menu-heading-links-static-help menu-title="本文内容" :disabled="false" :headings="pageHeadings"/></nav></div></div></div><div class="section--main container--full-width"><div class="container--centered"><nav class="nav-side nav-side--left" role="navigation"><menu-tree-help menu-title="内容"/></nav><article role="main"><h2 class="topic--title" id="contentH1">Kerberos 疑难解答</h2><div class="caption article__tags content-only-hidden quick-help-hidden"><span class="article__tags--applies-to"> </span><br/><span class="article__tags--role"> </span></div><div xmlns:madcap="http://www.madcapsoftware.com/Schemas/MadCap.xsd" id="content-body">&#13; <div id="mc-main-content"><p>本主题中的故障排除建议分为与服务器上的单一登录 (SSO) 相关的问题以及委派数据源的问题。</p><h2 is="heading-item" :level="2" id="tableau-server-单点登录">Tableau Server 单点登录</h2><p>在 Kerberos SSO 环境中，通过 Web 浏览器或 Tableau Desktop 登录到 Tableau Server 的用户可能会看到一条消息，指明 Tableau Server 无法（使用单点登录）自动将这些用户登录。该消息建议用户改为提供 Tableau Server 用户名和密码。</p><p><img src="Img/kerb_auth_failed.png" alt=""/></p><h3 is="heading-item" :level="3" id="在客户端计算机上排查登录错误">在客户端计算机上排查登录错误</h3><ul><li><p><strong>输入用户名和密码 </strong>— 若要检查用户对 Tableau Server 的一般访问权限，请通过输入用户的名称和密码进行登录。</p><p>如果这些凭据失败，则该用户可能不是 Tableau Server 上的用户。为了使 Kerberos SSO 起作用，用户必须能够访问 Tableau Server，并且必须获得 Active Directory 授予的票证授予票证 (TGT)，如此列表后面的“<strong>TGT</strong>”项中所述。</p></li><li><p><strong>检查其他用户的 SSO 凭据</strong> — 尝试使用其他用户帐户通过 SSO 连接到 Tableau Server。如果所有用户均受影响，则问题可能在 Kerberos 配置中。</p></li><li><p><strong>使用不是服务器计算机的计算机 </strong>— 如果在 localhost 上登录 Tableau Server，Kerberos SSO 将不起作用。客户端必须从 Tableau Server 计算机以外的计算机进行连接。</p></li><li><p><strong>使用服务器名称而不是 IP 地址 </strong>— 如果输入 IP 地址作为 Tableau Server 名称，Kerberos SSO 将不起作用。此外，用于访问 Tableau Server 的服务器名称必须与 Kerberos 配置中使用的名称匹配（请参见下面的<strong><a href="#keytable">密钥表条目</a></strong>）。</p></li><li><p><strong>确认客户端有 TGT </strong>— 客户端计算机必须有来自 Active Directory 域的 TGT（票证授予票证）。不支持代理授予票证的约束委派。</p><p>若要确认客户端计算机具有 TGT，请执行以下操作：</p><ul><li><p>在 Windows 上，打开命令提示符并键入以下命令：<code>klist tgt</code></p></li><li><p>在 Mac 上，打开终端窗口并键入以下命令：<code>klist</code></p></li></ul><p>输出应显示正尝试接受 Tableau Server 身份验证的用户/域的 TGT。</p><p>在以下情况下，客户端计算机可能没有 TGT：</p><ul><li><p>客户端计算机使用 VPN 连接。</p></li><li><p>客户端计算机没有加入域（例如，它是在工作时使用的非工作用计算机）。</p></li><li><p>用户使用本地（非域）帐户登录到计算机。</p></li><li><p>计算机是没有将 Active Directory 用作网络帐户服务器的 Mac 计算机。</p></li></ul></li><li><p><strong>确认浏览器版本和设置 </strong>— 对于 Web 浏览器登录，请确保浏览器对于 Kerberos 受支持并在必要的情况下已正确配置。</p><ul><li><p>Internet Explorer (IE) 和 Chrome 立即可在 Windows 上运行。</p></li><li><p>Safari 立即可在 Mac 上运行。</p></li><li><p>Firefox 需要额外的配置。</p></li></ul><p>有关详细信息，请参见<a href="kerberos_browser.htm" class="MCXref xref" xrefformat="{paratext}">Kerberos SSO 的 Tableau 客户端支持</a>。</p></li></ul><h3 is="heading-item" :level="3" id="在服务器上排查登录错误">在服务器上排查登录错误</h3><p>如果无法通过客户端计算机解决问题，则下面的步骤是在运行 Tableau Server 的计算机上排除故障。管理员可以使用请求 ID 在 Tableau Server 上的 Apache 日志中查找登录尝试。</p><ul><li><p><strong>日志文件</strong> — 查看 Apache error.log 中的错误（含有失败登录尝试的确切日期/时间）。</p><ul data-mc-conditions="Product.serverwindows"><li><p>在 ziplog 存档中，这些日志位于 \httpd 文件夹下。</p></li><li><p>在 Tableau Server 上，这些日志位于 \data\tabsvc\logs\httpd\ 文件夹中。</p></li></ul></li><li><p><a name="keytable"/><strong>键表条目</strong> — 如果 error.log 条目包含“No key table entry matching HTTP/&lt;servername&gt;.&lt;domain&gt;.&lt;org&gt;@”（没有与 HTTP/&lt;服务器名称&gt;.&lt;域&gt;.&lt;org&gt; 匹配的键表条目）消息，例如：</p><p><code>[Fri Oct 24 10:58:46.087683 2014] [:error] [pid 2104:tid 4776] [client 10.10.1.62:56789] gss_acquire_cred() failed: Unspecified GSS failure. Minor code may provide more information (, No key table entry found matching HTTP/servername.domain.com@)</code></p><p>此错误是由以下任意项的不匹配造成的：</p><ul><li><p><strong>Tableau Server URL</strong> - 客户端计算机用于访问服务器的 URL。</p><p>这是您键入 Tableau Desktop 或浏览器地址栏的名称。它可以是短名称 (<code>http://servername</code>)，也可以是完全限定域名 (<code>http://servername.domain.com</code>)</p><p><img src="Img/kerb_servername_1.png" alt=""/> <img src="Img/kerb_servername_2.png" alt=""/></p></li><li><p>服务器 IP 地址的 <strong>DNS 反向查找。</strong></p><p>它使用 IP 地址查找 DNS 名称。</p><p>在命令提示符处，键入：</p><p><code>ping servername</code></p><p>利用在 ping 服务器之后返回的 IP 地址执行 DNS 反向查找，键入：</p><p><code>nslookup &lt;ip address&gt;</code></p><p>nslookup 命令将返回该 IP 地址的网络信息。在响应的 <i>Non-authoritative answer</i> 部分中，验证完全限定的域名 (FQDN) 是否与以下配置的值匹配： </p><ul><li><p>Kerberos .keytab 文件。</p></li><li><p>服务器的服务主体名称 (SPN)</p></li></ul><p>有关配置这些值的详细信息，请参见<a href="kerberos_keytab.htm" class="MCXref xref" xrefformat="{paratext}">了解密钥表要求</a>。</p></li></ul></li></ul><h3 is="heading-item" :level="3" id="验证-kerberos-配置脚本">验证 Kerberos 配置脚本</h3><p>您可能需要修改用于生成环境变量密钥表文件的 ktpass 命令。查看知识库文章<a href="https://kb.tableau.com/articles/issue/unable-to-generate-kerberos-script-configuration-for-tableau-server?lang=zh-cn" target="_blank">无法为 Tableau Server 生成 Kerberos 脚本配置<span class="sr-only">(链接在新窗口中打开)</span></a>中的疑难解答步骤。</p><h2 is="heading-item" :level="2" id="数据源-sso">数据源 SSO</h2><h3 is="heading-item" :level="3" id="委派的数据源访问失败">委派的数据源访问失败</h3><p>检查 vizqlserver 日志文件中是否有“workgroup-auth-mode”：</p><ul data-mc-conditions="Product.serverwindows"><li><p>在 ziplog 存档中，这些日志位于 \vizqlserver\Logs 文件夹中</p></li><li><p>在 Tableau Server 上，这些日志位于 \data\tabsvc\vizqlserver\Logs 文件夹中</p></li></ul><p>在日志文件中查找“workgroup-auth-mode”。它应显示“kerberos-impersonate”而不是“as-is”。</p><h3 is="heading-item" :level="3" id="kerberos-委派多域配置"><a name="multi"/>Kerberos 委派多域配置</h3><p>Tableau Server 能够从其他 Active Directory 域中委派用户。如果您的数据库使用 MIT Kerberos，您需要将 Kerberos 主体调整为数据库用户映射。具体而言，您将需要使用用户将从中连接的每个 Kerberos 域的规则更新 krb5.conf。使用 <code>[realms]</code> 部分中的 <code>auth_to_local</code> 标记将主体名称映射到本地用户名。</p><p>例如，假设一个用户为 <code>EXAMPLE\jsmith</code>，其 Kerberos 主体为 <code>jsmith@EXAMPLE.LAN</code>。在这种情况下，Tableau Server 将指定委派用户 <code>jsmith@EXAMPLE</code>。Tableau Server 将使用 Active Directory 旧域别名作为 Kerberos 域。</p><p>目标数据库可能已经有诸如以下规则，用于将用户 <code>jsmith@EXAMPLE.LAN</code> 映射到数据库用户 <code>jsmith</code>。</p><p><code> EXAMPLE.LAN = {&#13; <br/> RULE:[1:$1@$0](.*@EXAMPLE.LAN)s/@.*//&#13;