Criptografar o tráfego de rede
É uma prática recomendada criptografar o tráfego de rede entre o aplicativo Looker e seu banco de dados. Considere uma das opções descritas na página de documentação Como ativar o acesso seguro ao banco de dados.
Se você tiver interesse em usar a criptografia SSL, consulte a documentação da Microsoft.
Como configurar a autenticação do servidor
O Looker exige a "autenticação do SQL Server" no seu servidor MSSQL. Se o servidor MSSQL estiver configurado apenas como "Autenticação integrada do Windows", mude a configuração para "Autenticação integrada do Windows e autenticação do SQL Server".
Se a configuração do servidor não estiver definida corretamente, o Looker não poderá se conectar. Isso vai aparecer nas mensagens de registro do SQL Server, como: "Uma tentativa de fazer login usando a autenticação do SQL falhou. O servidor está configurado apenas para autenticação do Windows."
Se essa mudança for necessária, siga estas etapas:
- No Pesquisador de Objetos do SQL Server Management Studio, clique com o botão direito do mouse no servidor e clique em Propriedades.
- Na página Segurança, em Autenticação do servidor, selecione o novo modo de autenticação do servidor e clique em OK.
- Na caixa de diálogo SQL Server Management Studio, clique em OK para confirmar a necessidade de reiniciar o SQL Server.
- No Pesquisador de Objetos, clique com o botão direito do mouse no servidor e clique em Reiniciar. Se o agente do SQL Server estiver em execução, ele também precisará ser reiniciado.
Leia mais sobre isso na documentação da Microsoft.
Criar um usuário do Looker
O Looker se autentica no banco de dados usando a autenticação do SQL Server. Não é possível usar uma conta de domínio.
Para criar uma conta, execute os comandos a seguir. Mude some_password_here para uma senha exclusiva e segura:
CREATE LOGIN looker
WITH PASSWORD = 'some_password_here';
USE MyDatabase;
CREATE USER looker FOR LOGIN looker;
GO
Conceder ao usuário do Looker permissão para SELECIONAR em tabelas
O Looker exige a permissão SELECT para cada tabela ou esquema que você quer consultar. Há várias maneiras de atribuir a permissão SELECT:
Para conceder a permissão
SELECTa esquemas individuais, execute o seguinte comando para cada esquema:GRANT SELECT on SCHEMA :: 'schema_name' to looker;Para conceder a permissão
SELECTa tabelas individuais, execute o seguinte comando para cada tabela:GRANT SELECT on OBJECT :: 'schema_name'.'table_name' to looker;Para o MSSQL versão 2012 ou mais recente, você também pode atribuir ao usuário do Looker a função
db_datareaderusando estes comandos:USE MyDatabase; ALTER ROLE db_datareader ADD MEMBER looker; GO
Conceder ao usuário do Looker permissão para visualizar e interromper a execução de consultas
O Looker precisa de autorização para detectar e interromper consultas em execução, o que exige as seguintes permissões:
ALTER ANY CONNECTIONVIEW SERVER STATE
Para conceder essas permissões, execute os seguintes comandos:
USE Master;
GRANT ALTER ANY CONNECTION TO looker;
GRANT VIEW SERVER STATE to looker;
GO
Conceder ao usuário do Looker permissão para criar tabelas
Para conceder ao usuário do Looker a permissão de criar PDTs, execute os seguintes comandos:
USE MyDatabase;
GRANT CREATE TABLE to looker;
GO
Configuração do esquema de temperatura
Para criar um esquema de propriedade do usuário do Looker e conceder os direitos necessários a ele, execute este comando:
CREATE SCHEMA looker_scratch AUTHORIZATION looker;
Como configurar a autenticação do Kerberos
Se você usa a autenticação Kerberos com seu banco de dados MSSQL, siga as etapas para configurar o Looker e se conectar usando o Kerberos, conforme descrito na seção a seguir.
Como configurar o cliente do Kerberos
Primeiro, verifique se vários softwares e arquivos estão instalados na máquina do Looker.
Cliente do Kerberos
Execute kinit para verificar se o cliente Kerberos está instalado na máquina do Looker. Se o cliente do Kerberos não estiver instalado, instale os binários dele.
Por exemplo, no Redhat ou CentOS, seria o seguinte:
sudo yum install krb5-workstation krb5-libs krb5-auth-dialog
Java 8
O Java 8 precisa estar instalado na máquina do Looker e nos PATH e JAVA_HOME do usuário do Looker. Se necessário, instale-o localmente no diretório looker.
Java Cryptography Extension
Faça o download e instale a Java Cryptography Extension (JCE) para Java 8 nesta página de download da Oracle.
- Localize o diretório
jre/lib/securitypara a instalação do Java. - Remova os seguintes arquivos JAR deste diretório:
local_policy.jareUS_export_policy.jar. - Substitua esses dois arquivos pelos arquivos JAR incluídos no download dos arquivos de política de jurisdição de força ilimitada do JCE.
É possível usar versões do Java anteriores à 8 com a JCE instalada, mas isso não é recomendado.
- Localize o diretório
Atualize
JAVA_HOMEePATHem~looker/.bash_profilepara apontar para a instalação correta do Java esource ~/.bash_profileou saia e faça login de novo.Verifique a versão do Java com
java -version.Verifique a variável de ambiente
JAVA_HOMEcomecho $JAVA_HOME.
gss-jaas.conf
Crie um arquivo gss-jaas.conf no diretório looker com este conteúdo:
com.sun.security.jgss.initiate {
com.sun.security.auth.module.Krb5LoginModule required
useTicketCache=true
doNotPrompt=true;
};
Se necessário para testes, debug=true pode ser adicionado a esse arquivo desta forma:
com.sun.security.jgss.initiate {
com.sun.security.auth.module.Krb5LoginModule required
useTicketCache=true
doNotPrompt=true
debug=true;
};
krb5.conf
O servidor que executa o Looker também precisa ter um arquivo krb5.conf válido. Por padrão, esse arquivo está em /etc/krb5.conf. Se ele estiver em outro local, isso precisa ser indicado no ambiente (KRB5_CONFIG no ambiente shell).
Talvez seja necessário copiar isso de outra máquina cliente do Kerberos.
lookerstart.cfg
Aponte para os arquivos gss-jaas.conf e krb5.conf criando um arquivo no diretório looker (o mesmo que contém o script de inicialização looker) chamado lookerstart.cfg com as seguintes linhas:
JAVAARGS="-Djava.security.auth.login.config=/path/to/gss-jaas.conf -Djavax.security.auth.useSubjectCredsOnly=false -Djava.security.krb5.conf=/etc/krb5.conf"
LOOKERARGS=""
Se o arquivo krb5.conf não estiver em /etc/krb5.conf, também será necessário adicionar esta variável:
-Djava.security.krb5.conf=/path/to/krb5.conf
Para depuração, adicione estas variáveis:
-Dsun.security.jgss.debug=true -Dsun.security.krb5.debug=true
Em seguida, reinicie o Looker com ./looker restart.
Como autenticar com o Kerberos
Autenticação do usuário
Se
krb5.confnão estiver em/etc/, use a variável de ambienteKRB5_CONFIGpara indicar o local.Execute o comando
klistpara garantir que há um tíquete válido no cache de tíquetes do Kerberos.Se não houver um tíquete, execute
kinit username@REALMoukinit usernamepara criar um.A conta usada com o Looker provavelmente será sem interface gráfica. Portanto, você pode receber um arquivo keytab do Kerberos para armazenar a credencial para uso a longo prazo. Use um comando como
kinit -k -t looker_user.keytab username@REALMpara receber o tíquete do Kerberos.
Renovação automática do tíquete
Configure um cron job que seja executado de tempos em tempos para manter um tíquete ativo no cache de tíquetes do Kerberos. A frequência de execução depende da configuração do cluster. klist precisa indicar quando os ingressos vão expirar.
Criar a conexão do Looker com seu banco de dados
Siga estas etapas para criar a conexão do Looker com seu banco de dados:
- Na seção Administrador do Looker, selecione Conexões e clique em Adicionar conexão.
No menu suspenso Dialeto, selecione sua versão do Microsoft SQL Server.
Em Host remoto e Porta, insira o nome do host e a porta (a porta padrão é 1433).
Se você precisar especificar uma porta diferente da padrão 1433 e seu banco de dados exigir o uso de uma vírgula em vez de dois pontos, adicione
useCommaHostPortSeparator=trueno campo Outros parâmetros JDBC mais abaixo nas configurações de conexão. Isso permite usar uma vírgula em Host remoto:porta. Exemplo:jdbc:sqlserver://hostname,1434Preencha o restante dos detalhes da conexão. A maioria das configurações é comum para a maioria dos dialetos de banco de dados. Consulte a página de documentação Conectar o Looker ao seu banco de dados para mais informações.
Para verificar se a conexão foi bem-sucedida, clique em Testar. Consulte a página de documentação Testar a conectividade do banco de dados para informações sobre solução de problemas.
Para salvar essas configurações, clique em Conectar.
Como configurar a conexão do Looker
Siga as instruções na página de documentação Conectar o Looker ao seu banco de dados para criar uma conexão com o banco de dados MSSQL. Na seção Parâmetros JDBC adicionais da página Configurações de conexão, adicione o seguinte:
;integratedSecurity=true;authenticationScheme=JavaKerberos
Algumas redes são configuradas para dois domínios Kerberos, um para o Active Directory do Windows e outro para o Linux e outros sistemas que não são Windows. Nesse caso, quando o Realm focado no Linux e o Realm do Active Directory são configurados para confiar um no outro, isso é chamado de "autenticação entre Realms".
Se a rede usar autenticação entre domínios, especifique explicitamente o principal do Kerberos para o MSSQL Server. No campo Parâmetros JDBC adicionais, adicione o seguinte:
;serverSpn=service_name/FQDN\:PORT@REALM
Substitua FQDN e PORT@REALM pelas informações da sua rede. Exemplo:
;serverSpn=MSSQLSvc/dbserver.internal.example.com:1433@AD.EXAMPLE.COM
Além disso, a página Configurações de conexão no Looker exige entradas nos campos Nome de usuário e Senha, mas elas não são necessárias para o Kerberos. Insira valores fictícios nesses campos.
Teste a conexão para verificar se ela está configurada corretamente.
Suporte a recursos
Para que o Looker ofereça suporte a alguns recursos, o dialeto do banco de dados também precisa ser compatível com eles.
O Microsoft SQL Server 2008+ é compatível com os seguintes recursos a partir do Looker 25.10:
| Recurso | Compatível? |
|---|---|
| Nível de suporte | Integração |
| Looker (Google Cloud Core) | Não |
| Agregações simétricas | Sim |
| Tabelas derivadas | Sim |
| Tabelas derivadas persistentes com base em SQL | Sim |
| Tabelas derivadas nativas persistentes | Sim |
| Visualizações estáveis | Sim |
| Interrupção de consultas | Sim |
| Tabelas dinâmicas baseadas em SQL | Sim |
| Fusos horários | Não |
| SSL | Sim |
| Subtotais | Sim |
| Parâmetros adicionais do JDBC | Sim |
| Diferenciação entre maiúsculas e minúsculas | Não |
| Tipo de local | Sim |
| Tipo de lista | Não |
| Percentil | Não |
| Percentil distinto | Não |
| Mostrar processos do SQL Runner | Sim |
| Descrever tabela do SQL Runner | Sim |
| Mostrar índices do SQL Runner | Sim |
| Selecionar 10 no SQL Runner | Sim |
| Contagem do SQL Runner | Sim |
| Explicação do SQL | Não |
| Credenciais do OAuth 2.0 | Não |
| Comentários de contexto | Sim |
| Pooling de conexão | Não |
| Esboços HLL | Não |
| Reconhecimento agregado | Sim |
| TDPs incrementais | Não |
| Milissegundos | Sim |
| Microssegundos | Sim |
| Visualizações materializadas. | Não |
| Medidas de comparação de períodos | Não |
| Contagem aproximada aproximada | Não |
O Microsoft SQL Server 2016 é compatível com os seguintes recursos a partir do Looker 25.10:
| Recurso | Compatível? |
|---|---|
| Nível de suporte | Com suporte |
| Looker (Google Cloud Core) | Não |
| Agregações simétricas | Sim |
| Tabelas derivadas | Sim |
| Tabelas derivadas persistentes com base em SQL | Sim |
| Tabelas derivadas nativas persistentes | Sim |
| Visualizações estáveis | Sim |
| Interrupção de consultas | Sim |
| Tabelas dinâmicas baseadas em SQL | Sim |
| Fusos horários | Sim |
| SSL | Sim |
| Subtotais | Sim |
| Parâmetros adicionais do JDBC | Sim |
| Diferenciação entre maiúsculas e minúsculas | Não |
| Tipo de local | Sim |
| Tipo de lista | Não |
| Percentil | Não |
| Percentil distinto | Não |
| Mostrar processos do SQL Runner | Sim |
| Descrever tabela do SQL Runner | Sim |
| Mostrar índices do SQL Runner | Sim |
| Selecionar 10 no SQL Runner | Sim |
| Contagem do SQL Runner | Sim |
| Explicação do SQL | Não |
| Credenciais do OAuth 2.0 | Não |
| Comentários de contexto | Sim |
| Pooling de conexão | Não |
| Esboços HLL | Não |
| Reconhecimento agregado | Sim |
| TDPs incrementais | Não |
| Milissegundos | Sim |
| Microssegundos | Sim |
| Visualizações materializadas. | Não |
| Medidas de comparação de períodos | Não |
| Contagem aproximada aproximada | Não |
O Microsoft SQL Server 2017+ é compatível com os seguintes recursos a partir do Looker 25.10:
| Recurso | Compatível? |
|---|---|
| Nível de suporte | Com suporte |
| Looker (Google Cloud Core) | Sim |
| Agregações simétricas | Sim |
| Tabelas derivadas | Sim |
| Tabelas derivadas persistentes com base em SQL | Sim |
| Tabelas derivadas nativas persistentes | Sim |
| Visualizações estáveis | Sim |
| Interrupção de consultas | Sim |
| Tabelas dinâmicas baseadas em SQL | Sim |
| Fusos horários | Sim |
| SSL | Sim |
| Subtotais | Sim |
| Parâmetros adicionais do JDBC | Sim |
| Diferenciação entre maiúsculas e minúsculas | Não |
| Tipo de local | Sim |
| Tipo de lista | Não |
| Percentil | Não |
| Percentil distinto | Não |
| Mostrar processos do SQL Runner | Sim |
| Descrever tabela do SQL Runner | Sim |
| Mostrar índices do SQL Runner | Sim |
| Selecionar 10 no SQL Runner | Sim |
| Contagem do SQL Runner | Sim |
| Explicação do SQL | Não |
| Credenciais do OAuth 2.0 | Não |
| Comentários de contexto | Sim |
| Pooling de conexão | Não |
| Esboços HLL | Não |
| Reconhecimento agregado | Sim |
| TDPs incrementais | Não |
| Milissegundos | Sim |
| Microssegundos | Sim |
| Visualizações materializadas. | Não |
| Medidas de comparação de períodos | Não |
| Contagem aproximada aproximada | Não |