Crittografia del traffico di rete
È una best practice criptare il traffico di rete tra l'applicazione Looker e il tuo database. Valuta una delle opzioni descritte nella pagina della documentazione Abilitare l'accesso sicuro ai database.
Se ti interessa utilizzare la crittografia SSL, consulta la documentazione di Microsoft.
Configurazione dell'autenticazione server
Looker richiede l'autenticazione SQL Server sul server MSSQL. Se il server MSSQL è configurato solo come "Autenticazione integrata di Windows", modifica la configurazione del server in "Autenticazione integrata di Windows e autenticazione SQL Server".
Se la configurazione del server non è impostata correttamente, Looker non sarà in grado di connettersi. Questo messaggio verrà visualizzato nei messaggi di log di SQL Server come: "An attempt to log in using SQL authentication failed. Il server è configurato solo per l'autenticazione di Windows".
Se questa modifica è necessaria, puoi completare i seguenti passaggi:
- In Esplora oggetti di SQL Server Management Studio, fai clic con il tasto destro del mouse sul server e poi su Proprietà.
- Nella pagina Sicurezza, in Autenticazione server, seleziona la nuova modalità di autenticazione del server e poi fai clic su Ok.
- Nella finestra di dialogo SQL Server Management Studio, fai clic su Ok per confermare il requisito di riavvio di SQL Server.
- In Esplora oggetti, fai clic con il tasto destro del mouse sul server e poi su Riavvia. Se l'agente SQL Server è in esecuzione, deve essere riavviato.
Per saperne di più, consulta la documentazione di Microsoft.
Creazione di un utente Looker
Looker esegue l'autenticazione al database utilizzando l'autenticazione SQL Server. L'utilizzo di un account di dominio non è supportato.
Per creare un account, esegui i seguenti comandi. Modifica some_password_here con una password unica e sicura:
CREATE LOGIN looker
WITH PASSWORD = 'some_password_here';
USE MyDatabase;
CREATE USER looker FOR LOGIN looker;
GO
Concessione dell'autorizzazione utente di Looker a SELEZIONARE dalle tabelle
Looker richiede l'autorizzazione SELECT per ogni tabella o schema su cui vuoi eseguire query. Esistono diversi modi per assegnare l'autorizzazione SELECT:
Per concedere l'autorizzazione
SELECTa singoli schemi, esegui il seguente comando per ogni schema:GRANT SELECT on SCHEMA :: 'schema_name' to looker;Per concedere l'autorizzazione
SELECTa singole tabelle, esegui il seguente comando per ogni tabella:GRANT SELECT on OBJECT :: 'schema_name'.'table_name' to looker;Per MSSQL versione 2012 o successive, puoi anche assegnare all'utente Looker il ruolo
db_datareaderutilizzando questi comandi:USE MyDatabase; ALTER ROLE db_datareader ADD MEMBER looker; GO
Concessione all'utente Looker dell'autorizzazione per visualizzare e interrompere l'esecuzione delle query
Looker deve essere autorizzato a rilevare e interrompere l'esecuzione delle query, il che richiede le seguenti autorizzazioni:
ALTER ANY CONNECTIONVIEW SERVER STATE
Per concedere queste autorizzazioni, esegui i seguenti comandi:
USE Master;
GRANT ALTER ANY CONNECTION TO looker;
GRANT VIEW SERVER STATE to looker;
GO
Concessione all'utente Looker dell'autorizzazione a creare tabelle
Per concedere all'utente Looker l'autorizzazione a creare TDT, esegui i seguenti comandi:
USE MyDatabase;
GRANT CREATE TABLE to looker;
GO
Configurazione dello schema temporaneo
Per creare uno schema di proprietà dell'utente Looker e concedere i diritti necessari all'utente Looker, esegui questo comando:
CREATE SCHEMA looker_scratch AUTHORIZATION looker;
Configurazione dell'autenticazione Kerberos
Se utilizzi l'autenticazione Kerberos con il tuo database MSSQL, segui i passaggi per configurare Looker in modo che si connetta utilizzando Kerberos, come descritto nella sezione seguente.
Configurazione del client Kerberos
Innanzitutto, devi assicurarti l'installazione di diversi software e la presenza di diversi file sulla macchina Looker.
Client Kerberos
Verifica che il client Kerberos sia installato sulla macchina Looker eseguendo kinit. Se il client Kerberos non è installato, installa i file binari del client Kerberos.
Ad esempio, su Redhat o CentOS, sarebbe il seguente:
sudo yum install krb5-workstation krb5-libs krb5-auth-dialog
Java 8
Java 8 deve essere installato sulla macchina Looker e in PATH e JAVA_HOME dell'utente Looker. Se necessario, installalo localmente nella directory looker.
Java Cryptography Extension
Scarica e installa Java Cryptography Extension (JCE) per Java 8 da questa pagina di download di Oracle.
- Individua la directory
jre/lib/securityper l'installazione di Java. - Rimuovi i seguenti file JAR da questa directory:
local_policy.jareUS_export_policy.jar. - Sostituisci questi due file con i file JAR inclusi nel download dei file di policy di giurisdizione JCE Unlimited Strength.
Potrebbe essere possibile utilizzare versioni di Java precedenti a Java 8 con JCE installato, ma non è consigliabile.
- Individua la directory
Aggiorna
JAVA_HOMEePATHin~looker/.bash_profilein modo che puntino all'installazione corretta di Java esource ~/.bash_profileoppure esci e accedi di nuovo.Verifica la versione di Java con
java -version.Verifica la variabile di ambiente
JAVA_HOMEconecho $JAVA_HOME.
gss-jaas.conf
Crea un file gss-jaas.conf nella directory looker con questo contenuto:
com.sun.security.jgss.initiate {
com.sun.security.auth.module.Krb5LoginModule required
useTicketCache=true
doNotPrompt=true;
};
Se necessario per i test, debug=true può essere aggiunto a questo file nel seguente modo:
com.sun.security.jgss.initiate {
com.sun.security.auth.module.Krb5LoginModule required
useTicketCache=true
doNotPrompt=true
debug=true;
};
krb5.conf
Il server su cui è in esecuzione Looker deve avere anche un file krb5.conf valido. Per impostazione predefinita, questo file si trova in /etc/krb5.conf. Se si trova in un'altra posizione, questa deve essere indicata nell'ambiente (KRB5_CONFIG nell'ambiente shell).
Potresti doverlo copiare da un altro computer client Kerberos.
lookerstart.cfg
Punta ai file gss-jaas.conf e krb5.conf creando un file nella directory looker (la stessa directory contenente lo script di avvio looker) denominato lookerstart.cfg che contiene le seguenti righe:
JAVAARGS="-Djava.security.auth.login.config=/path/to/gss-jaas.conf -Djavax.security.auth.useSubjectCredsOnly=false -Djava.security.krb5.conf=/etc/krb5.conf"
LOOKERARGS=""
Se il file krb5.conf non si trova in /etc/krb5.conf, sarà necessario aggiungere anche questa variabile:
-Djava.security.krb5.conf=/path/to/krb5.conf
Per il debug, aggiungi queste variabili:
-Dsun.security.jgss.debug=true -Dsun.security.krb5.debug=true
Poi riavvia Looker con ./looker restart.
Autenticazione con Kerberos
Autenticazione degli utenti
Se
krb5.confnon è in/etc/, utilizza la variabile di ambienteKRB5_CONFIGper indicarne la posizione.Esegui il comando
klistper assicurarti che nella cache dei ticket Kerberos sia presente un ticket valido.Se non è presente alcun ticket, esegui
kinit username@REALMokinit usernameper crearlo.L'account utilizzato con Looker sarà probabilmente headless, quindi puoi ottenere un file keytab da Kerberos per archiviare le credenziali per l'utilizzo a lungo termine. Utilizza un comando come
kinit -k -t looker_user.keytab username@REALMper ottenere il ticket Kerberos.
Rinnovo automatico del ticket
Configura un cron job che venga eseguito periodicamente per mantenere un ticket attivo nella cache dei ticket Kerberos. La frequenza di esecuzione dipende dalla configurazione del cluster. klist dovrebbe fornire un'indicazione della data di scadenza dei biglietti.
Creazione della connessione Looker al tuo database
Segui questi passaggi per creare la connessione da Looker al tuo database:
- Nella sezione Amministrazione di Looker, seleziona Connessioni e poi fai clic su Aggiungi connessione.
Nel menu a discesa Dialetto, seleziona la tua versione di Microsoft SQL Server.
In Host remoto e Porta, inserisci il nome host e la porta (la porta predefinita è 1433).
Se devi specificare una porta non predefinita diversa da 1433 e il tuo database richiede l'utilizzo di una virgola anziché di due punti, puoi aggiungere
useCommaHostPortSeparator=truenel campo Parametri JDBC aggiuntivi più in basso nelle impostazioni di connessione, il che ti consentirà di utilizzare una virgola per Host remoto:Porta. Ad esempio:jdbc:sqlserver://hostname,1434Compila il resto dei dettagli della connessione. La maggior parte delle impostazioni è comune alla maggioranza dei dialetti di database. Per informazioni, consulta la pagina della documentazione Connessione di Looker al tuo database.
Per verificare che la connessione sia riuscita, fai clic su Testa. Per informazioni sulla risoluzione dei problemi, consulta la pagina della documentazione Testare la connettività del database.
Per salvare queste impostazioni, fai clic su Connetti.
Configurazione della connessione Looker
Segui le istruzioni riportate nella pagina della documentazione Connessione di Looker al database per creare una connessione al database MSSQL. Nella sezione Parametri JDBC aggiuntivi della pagina Impostazioni di connessione, aggiungi quanto segue:
;integratedSecurity=true;authenticationScheme=JavaKerberos
Alcune reti sono configurate per due realm Kerberos, uno per Windows Active Directory e l'altro per Linux e altri sistemi non Windows. In questo caso, quando il realm incentrato su Linux e il realm Active Directory sono configurati per considerarsi attendibili a vicenda, si parla di "autenticazione cross-realm".
Se la tua rete utilizza l'autenticazione tra domini, devi specificare esplicitamente l'entità Kerberos per MSSQL Server. Nel campo Parametri JDBC aggiuntivi, aggiungi quanto segue:
;serverSpn=service_name/FQDN\:PORT@REALM
Sostituisci FQDN e PORT@REALM con le informazioni della tua rete. Ad esempio:
;serverSpn=MSSQLSvc/dbserver.internal.example.com:1433@AD.EXAMPLE.COM
Inoltre, la pagina Impostazioni connessione in Looker richiede voci nei campi Nome utente e Password, ma queste non sono obbligatorie per Kerberos. Inserisci valori fittizi in questi campi.
Verifica la connessione per assicurarti che sia configurata correttamente.
Funzionalità supportate
Affinché Looker supporti alcune funzionalità, anche il dialetto del database deve supportarle.
A partire da Looker 25.10, Microsoft SQL Server 2008+ supporta le seguenti funzionalità:
| Funzionalità | Supportato? |
|---|---|
| Livello di assistenza | Integrazione |
| Looker (Google Cloud core) | No |
| Aggregati simmetrici | Sì |
| Tabelle derivate | Sì |
| Tabelle derivate permanenti basate su SQL | Sì |
| Tabelle derivate native permanenti | Sì |
| Visualizzazioni stabili | Sì |
| Terminazione delle query | Sì |
| Pivot basati su SQL | Sì |
| Fusi orari | No |
| SSL | Sì |
| Subtotali | Sì |
| Parametri JDBC aggiuntivi | Sì |
| Sensibile alle maiuscole | No |
| Tipo di località | Sì |
| Tipo di elenco | No |
| Percentile | No |
| Percentile valori distinti | No |
| SQL Runner Show Processes | Sì |
| SQL Runner Describe Table | Sì |
| SQL Runner Show Indexes | Sì |
| SQL Runner Select 10 | Sì |
| Conteggio SQL Runner | Sì |
| SQL Explain | No |
| Credenziali OAuth 2.0 | No |
| Commenti contestuali | Sì |
| Pool di connessioni | No |
| Sketch HLL | No |
| Aggregate awareness | Sì |
| PDT incrementali | No |
| Millisecondi | Sì |
| Microsecondi | Sì |
| Viste materializzate | No |
| Misure di periodo in periodo | No |
| Conteggio approssimativo dei valori distinti | No |
A partire da Looker 25.10, Microsoft SQL Server 2016 supporta le seguenti funzionalità:
| Funzionalità | Supportato? |
|---|---|
| Livello di assistenza | Supportato |
| Looker (Google Cloud core) | No |
| Aggregati simmetrici | Sì |
| Tabelle derivate | Sì |
| Tabelle derivate permanenti basate su SQL | Sì |
| Tabelle derivate native permanenti | Sì |
| Visualizzazioni stabili | Sì |
| Terminazione delle query | Sì |
| Pivot basati su SQL | Sì |
| Fusi orari | Sì |
| SSL | Sì |
| Subtotali | Sì |
| Parametri JDBC aggiuntivi | Sì |
| Sensibile alle maiuscole | No |
| Tipo di località | Sì |
| Tipo di elenco | No |
| Percentile | No |
| Percentile valori distinti | No |
| SQL Runner Show Processes | Sì |
| SQL Runner Describe Table | Sì |
| SQL Runner Show Indexes | Sì |
| SQL Runner Select 10 | Sì |
| Conteggio SQL Runner | Sì |
| SQL Explain | No |
| Credenziali OAuth 2.0 | No |
| Commenti contestuali | Sì |
| Pool di connessioni | No |
| Sketch HLL | No |
| Aggregate awareness | Sì |
| PDT incrementali | No |
| Millisecondi | Sì |
| Microsecondi | Sì |
| Viste materializzate | No |
| Misure di periodo in periodo | No |
| Conteggio approssimativo dei valori distinti | No |
A partire da Looker 25.10, Microsoft SQL Server 2017+ supporta le seguenti funzionalità:
| Funzionalità | Supportato? |
|---|---|
| Livello di assistenza | Supportato |
| Looker (Google Cloud core) | Sì |
| Aggregati simmetrici | Sì |
| Tabelle derivate | Sì |
| Tabelle derivate permanenti basate su SQL | Sì |
| Tabelle derivate native permanenti | Sì |
| Visualizzazioni stabili | Sì |
| Terminazione delle query | Sì |
| Pivot basati su SQL | Sì |
| Fusi orari | Sì |
| SSL | Sì |
| Subtotali | Sì |
| Parametri JDBC aggiuntivi | Sì |
| Sensibile alle maiuscole | No |
| Tipo di località | Sì |
| Tipo di elenco | No |
| Percentile | No |
| Percentile valori distinti | No |
| SQL Runner Show Processes | Sì |
| SQL Runner Describe Table | Sì |
| SQL Runner Show Indexes | Sì |
| SQL Runner Select 10 | Sì |
| Conteggio SQL Runner | Sì |
| SQL Explain | No |
| Credenziali OAuth 2.0 | No |
| Commenti contestuali | Sì |
| Pool di connessioni | No |
| Sketch HLL | No |
| Aggregate awareness | Sì |
| PDT incrementali | No |
| Millisecondi | Sì |
| Microsecondi | Sì |
| Viste materializzate | No |
| Misure di periodo in periodo | No |
| Conteggio approssimativo dei valori distinti | No |