Microsoft SQL Server (MSSQL)

Netzwerk-Datenverkehr verschlüsseln

Es empfiehlt sich, den Netzwerkverkehr zwischen der Looker-Anwendung und Ihrer Datenbank zu verschlüsseln. Sehen Sie sich eine der Optionen an, die auf der Dokumentationsseite Sicheren Datenbankzugriff aktivieren beschrieben werden.

Wenn Sie an der Verwendung von SSL-Verschlüsselung interessiert sind, lesen Sie die Microsoft-Dokumentation.

Serverauthentifizierung konfigurieren

Looker erfordert „SQL Server-Authentifizierung“ auf Ihrem MSSQL-Server. Wenn Ihr MSSQL-Server als „Windows Integrated Authentication“ (Windows Integrated Authentication) konfiguriert ist nur die Serverkonfiguration auf "Windows Integrated Authentication and SQL Server Authentication" (Windows-integrierte Authentifizierung und SQL Server-Authentifizierung) ändern.

Wenn die Serverkonfiguration nicht richtig konfiguriert ist, kann Looker keine Verbindung herstellen. Dies wird in Ihren SQL Server-Protokollnachrichten wie folgt angezeigt: „Ein Versuch, sich mit SQL-Authentifizierung anzumelden fehlgeschlagen. Der Server ist nur für die Windows-Authentifizierung konfiguriert.“

Wenn diese Änderung erforderlich ist, führen Sie die folgenden Schritte aus:

1. Klicken Sie im Objekt-Explorer von SQL Server Management Studio mit der rechten Maustaste auf den Server und dann auf Eigenschaften.
2. Wählen Sie auf der Seite Sicherheit unter Serverauthentifizierung den neuen Serverauthentifizierungsmodus aus und klicken Sie auf OK.
3. Klicken Sie im Dialogfeld SQL Server Management Studio auf OK, um zu bestätigen, dass SQL Server neu gestartet werden muss.
4. Klicken Sie im Objekt-Explorer mit der rechten Maustaste auf Ihren Server und klicken Sie dann auf Neu starten. Wenn der SQL Server-Agent ausgeführt wird, muss er ebenfalls neu gestartet werden.

Weitere Informationen hierzu finden Sie in der Dokumentation von Microsoft.

Looker-Nutzer erstellen

Looker authentifiziert sich mithilfe der SQL Server-Authentifizierung bei Ihrer Datenbank. Die Verwendung eines Domainkontos wird nicht unterstützt.

Führen Sie die folgenden Befehle aus, um ein Konto zu erstellen. Ändern Sie some_password_here in ein eindeutiges, sicheres Passwort:

CREATE LOGIN looker
  WITH PASSWORD = 'some_password_here';
USE MyDatabase;
CREATE USER looker FOR LOGIN looker;
GO

Looker-Nutzer die SELECT-Berechtigung für Tabellen erteilen

Looker benötigt die Berechtigung SELECT für jede Tabelle oder jedes Schema, das Sie abfragen möchten. Es gibt mehrere Möglichkeiten, die SELECT-Berechtigung zuzuweisen:

• Führen Sie den folgenden Befehl für jedes Schema aus, um die Berechtigung SELECT für einzelne Schemas zu erteilen:

  GRANT SELECT on SCHEMA :: 'schema_name' to looker;
  

• Führen Sie den folgenden Befehl für jede Tabelle aus, um die Berechtigung SELECT für einzelne Tabellen zu erteilen:

  GRANT SELECT on OBJECT :: 'schema_name'.'table_name' to looker;
  

• Bei MSSQL-Version 2012 oder höher können Sie dem Looker-Nutzer alternativ mit den folgenden Befehlen die Rolle db_datareader zuweisen:

  USE MyDatabase;
  ALTER ROLE db_datareader ADD MEMBER looker;
  GO
  

Dem Looker-Benutzer die Berechtigung zum Anzeigen und Beenden von Abfragen gewähren

Looker muss autorisiert sein, laufende Abfragen zu erkennen und anzuhalten. Dazu sind die folgenden Berechtigungen erforderlich:

• ALTER ANY CONNECTION
• VIEW SERVER STATE

Führen Sie die folgenden Befehle aus, um diese Berechtigungen zu gewähren:

USE Master;
GRANT ALTER ANY CONNECTION TO looker;
GRANT VIEW SERVER STATE to looker;
GO

Looker-Nutzer die Berechtigung zum Erstellen von Tabellen erteilen

Führen Sie die folgenden Befehle aus, um dem Looker-Nutzer die Berechtigung zum Erstellen von PDTs zu erteilen:

USE MyDatabase;
GRANT CREATE TABLE to looker;
GO

Einrichtung eines temporären Schemas

Führen Sie den folgenden Befehl aus, um ein Schema zu erstellen, das dem Looker-Benutzer gehört, und dem Looker-Benutzer die erforderlichen Rechte zu gewähren:

CREATE SCHEMA looker_scratch AUTHORIZATION looker;

Kerberos-Authentifizierung konfigurieren

Wenn Sie die Kerberos-Authentifizierung mit Ihrer MSSQL-Datenbank verwenden, führen Sie die im folgenden Abschnitt beschriebenen Schritte aus, um Looker für die Verbindung mithilfe von Kerberos zu konfigurieren.

Kerberos-Clientkonfiguration einrichten

Zunächst müssen Sie sicherstellen, dass mehrere Softwarekomponenten installiert und mehrere Dateien auf dem Looker-Rechner vorhanden sind.

Kerberos-Client

Prüfen Sie, ob der Kerberos-Client auf dem Looker-Rechner installiert ist. Führen Sie dazu kinit aus. Wenn der Kerberos-Client nicht installiert ist, installieren Sie die Binärdateien des Kerberos-Clients.

Unter Redhat oder CentOS sieht das beispielsweise so aus:

sudo yum install krb5-workstation krb5-libs krb5-auth-dialog

Java 8

Java 8 muss auf dem Looker-Computer und in den PATH und JAVA_HOME des Looker-Nutzers installiert sein. Installieren Sie es gegebenenfalls lokal im Verzeichnis looker.

Java Cryptography-Erweiterung

1. Laden Sie die Java Cryptography Extension (JCE) für Java 8 von dieser Oracle-Downloadseite herunter und installieren Sie sie.

   • Suchen Sie das Verzeichnis jre/lib/security für die Java-Installation.
   • Entfernen Sie die folgenden JAR-Dateien aus diesem Verzeichnis: local_policy.jar und US_export_policy.jar.
   • Ersetzen Sie diese beiden Dateien durch die JAR-Dateien, die im Download der Richtliniendateien für die JCE Unlimited notwendig sind.

   Es ist zwar möglich, ältere Java 8-Versionen mit installierter JCE zu verwenden, dies wird jedoch nicht empfohlen.

2. Aktualisieren Sie JAVA_HOME und PATH in ~looker/.bash_profile, damit sie auf die richtige Installation von Java und source ~/.bash_profile verweisen, oder melden Sie sich ab und wieder an.

3. Prüfen Sie die Java-Version mit java -version.

4. Prüfen Sie die Umgebungsvariable JAVA_HOME mit echo $JAVA_HOME.

gss-jaas.conf

Erstellen Sie im Verzeichnis looker eine Datei gss-jaas.conf mit folgendem Inhalt:

com.sun.security.jgss.initiate {
    com.sun.security.auth.module.Krb5LoginModule required
    useTicketCache=true
    doNotPrompt=true;
};

Wenn dies für Tests erforderlich ist, kann debug=true dieser Datei so hinzugefügt werden:

com.sun.security.jgss.initiate {
    com.sun.security.auth.module.Krb5LoginModule required
    useTicketCache=true
    doNotPrompt=true
    debug=true;
};

krb5.conf

Auf dem Server, auf dem Looker ausgeführt wird, muss sich auch eine gültige krb5.conf-Datei befinden. Diese Datei befindet sich standardmäßig in /etc/krb5.conf. Wenn es sich an einem anderen Ort befindet, muss dies in der Umgebung angegeben werden (KRB5_CONFIG in der Shell-Umgebung).

Möglicherweise müssen Sie diese von einem anderen Kerberos-Clientcomputer kopieren.

lookerstart.cfg

Verweisen Sie auf die Dateien gss-jaas.conf und krb5.conf, indem Sie im Verzeichnis looker (demselben Verzeichnis, das das looker-Startskript enthält) eine Datei namens lookerstart.cfg mit den folgenden Zeilen erstellen:

  JAVAARGS="-Djava.security.auth.login.config=/path/to/gss-jaas.conf -Djavax.security.auth.useSubjectCredsOnly=false -Djava.security.krb5.conf=/etc/krb5.conf"
  LOOKERARGS=""

Wenn sich die Datei krb5.conf nicht unter /etc/krb5.conf befindet, müssen Sie auch diese Variable hinzufügen:

  -Djava.security.krb5.conf=/path/to/krb5.conf

Fügen Sie zur Fehlerbehebung folgende Variablen hinzu:

  -Dsun.security.jgss.debug=true -Dsun.security.krb5.debug=true

Starten Sie Looker dann mit ./looker restart neu.

Mit Kerberos authentifizieren

Nutzerauthentifizierung

1. Wenn sich krb5.conf nicht in /etc/ befindet, verwenden Sie die Umgebungsvariable KRB5_CONFIG, um den Speicherort anzugeben.

2. Führen Sie den Befehl klist aus, um sicherzustellen, dass sich im Kerberos-Ticket-Cache ein gültiges Ticket befindet.

3. Wenn kein Ticket vorhanden ist, führe kinit username@REALM oder kinit username aus, um ein Ticket zu erstellen.

4. Das mit Looker verwendete Konto ist wahrscheinlich headless. Sie können also eine Keytab-Datei von Kerberos abrufen, um die Anmeldedaten für die langfristige Verwendung zu speichern. Verwenden Sie einen Befehl wie kinit -k -t looker_user.keytab username@REALM, um das Kerberos-Ticket abzurufen.

Ticket automatisch verlängern

Richten Sie einen Cronjob ein, der regelmäßig ausgeführt wird, um ein aktives Ticket im Kerberos-Ticket-Cache zu speichern. Wie oft dies ausgeführt werden soll, hängt von der Konfiguration des Clusters ab. klist sollte einen Hinweis darauf geben, wie bald Tickets ablaufen.

Looker-Verbindung zu Ihrer Datenbank erstellen

So erstellen Sie die Verbindung von Looker zu Ihrer Datenbank:

1. Wählen Sie in Looker im Bereich Verwaltung die Option Verbindungen und dann Verbindung hinzufügen aus.

2. Wählen Sie im Drop-down-Menü Dialekt Ihre Version von Microsoft SQL Server aus.

3. Geben Sie unter Remote Host und Port den Hostnamen und den Port ein. Der Standardport ist 1433.

   Wenn Sie einen anderen Port als 1433 angeben müssen und in Ihrer Datenbank ein Komma anstelle eines Doppelpunkts verwendet werden muss, können Sie unten in den Verbindungseinstellungen im Feld Zusätzliche JDBC-Parameter den Wert useCommaHostPortSeparator=true hinzufügen. Dadurch können Sie ein Komma für Remote Host:Port verwenden. Beispiel:

   jdbc:sqlserver://hostname,1434

4. Füllen Sie die restlichen Verbindungsdetails aus. Der Großteil der Einstellungen gilt für die meisten Datenbankdialekte. Weitere Informationen finden Sie auf der Dokumentationsseite Looker mit Ihrer Datenbank verbinden.

5. Klicken Sie auf Testen, um zu prüfen, ob die Verbindung erfolgreich hergestellt wurde. Informationen zur Fehlerbehebung finden Sie auf der Dokumentationsseite Datenbankkonnektivität testen.

6. Klicken Sie auf Verbinden, um diese Einstellungen zu speichern.

Looker-Verbindung konfigurieren

Folgen Sie der Anleitung auf der Dokumentationsseite Looker mit Ihrer Datenbank verbinden, um eine Verbindung zu Ihrer MSSQL-Datenbank herzustellen. Fügen Sie auf der Seite Verbindungseinstellungen unter Zusätzliche JDBC-Parameter Folgendes hinzu:

;integratedSecurity=true;authenticationScheme=JavaKerberos

Einige Netzwerke sind für zwei Kerberos-Bereiche konfiguriert, einer für Windows Active Directory und der andere für Linux und andere Nicht-Windows-Systeme. Wenn in diesem Fall der Linux-orientierte und der Active Directory-Realm so konfiguriert sind, dass sie sich gegenseitig vertrauen, wird dies als „realmübergreifende Authentifizierung“ bezeichnet.

Wenn in Ihrem Netzwerk eine realmübergreifende Authentifizierung verwendet wird, müssen Sie den Kerberos-Principal für MSSQL Server explizit angeben. Fügen Sie im Feld Additional JDBC parameters (Zusätzliche JDBC-Parameter) Folgendes hinzu:

;serverSpn=service_name/FQDN\:PORT@REALM

Ersetzen Sie FQDN und PORT@REALM durch Ihre Netzwerkinformationen. Beispiel:

;serverSpn=MSSQLSvc/dbserver.internal.example.com:1433@AD.EXAMPLE.COM

Zusätzlich sind auf der Seite Verbindungseinstellungen in Looker Einträge in den Feldern Nutzername und Passwort erforderlich. Für Kerberos sind diese Eingaben jedoch nicht erforderlich. Geben Sie in diese Felder Beispielwerte ein.

Testen Sie die Verbindung, um sicherzustellen, dass sie richtig konfiguriert ist.

Funktionsunterstützung

Damit Looker einige Funktionen unterstützen kann, müssen diese auch von Ihrem Datenbankdialekt unterstützt werden.

Microsoft SQL Server 2008+ unterstützt die folgenden Funktionen ab Looker 24.16:

Microsoft SQL Server 2016 unterstützt ab Looker 24.16 die folgenden Funktionen:

Microsoft SQL Server 2017 und höher unterstützt die folgenden Funktionen ab Looker 24.16: