Microsoft SQL Server (MSSQL)

Mengenkripsi traffic jaringan

Praktik terbaiknya adalah mengenkripsi traffic jaringan antara aplikasi Looker dan database Anda. Pertimbangkan salah satu opsi yang dijelaskan di halaman dokumentasi Mengaktifkan akses database yang aman.

Jika Anda tertarik menggunakan enkripsi SSL, lihat dokumentasi Microsoft.

Mengonfigurasi autentikasi server

Looker memerlukan "SQL Server Authentication" di server MSSQL Anda. Jika server MSSQL Anda hanya dikonfigurasi sebagai "Autentikasi Terintegrasi Windows", ubah konfigurasi server menjadi "Autentikasi Terintegrasi Windows dan Autentikasi SQL Server".

Jika konfigurasi server tidak disetel dengan benar, Looker tidak akan dapat terhubung. Pesan ini akan muncul di pesan log SQL Server Anda seperti: "An attempt to log in using SQL authentication failed. Server dikonfigurasi hanya untuk autentikasi Windows."

Jika perubahan ini diperlukan, Anda dapat menyelesaikan langkah-langkah berikut:

1. Di SQL Server Management Studio Object Explorer, klik kanan server, lalu klik Properties.
2. Di halaman Security, di bagian Server authentication, pilih mode autentikasi server baru, lalu klik OK.
3. Dalam dialog SQL Server Management Studio, klik OK untuk mengonfirmasi persyaratan memulai ulang SQL Server.
4. Di Object Explorer, klik kanan server Anda, lalu klik Restart. Jika SQL Server Agent sedang berjalan, SQL Server Agent juga harus dimulai ulang.

Anda dapat membaca selengkapnya tentang hal ini di dokumentasi Microsoft.

Membuat pengguna Looker

Looker mengautentikasi ke database Anda menggunakan Autentikasi SQL Server. Penggunaan akun domain tidak didukung.

Untuk membuat akun, jalankan perintah berikut. Ubah some_password_here menjadi sandi yang unik dan aman:

CREATE LOGIN looker
  WITH PASSWORD = 'some_password_here';
USE MyDatabase;
CREATE USER looker FOR LOGIN looker;
GO

Memberi izin pengguna Looker untuk MEMILIH dari tabel

Looker memerlukan izin SELECT untuk setiap tabel atau skema yang ingin Anda kueri. Ada beberapa cara untuk memberikan izin SELECT:

• Untuk memberikan izin SELECT ke setiap skema, jalankan perintah berikut untuk setiap skema:

  GRANT SELECT on SCHEMA :: 'schema_name' to looker;
  

• Untuk memberikan izin SELECT ke setiap tabel, jalankan perintah berikut untuk setiap tabel:

  GRANT SELECT on OBJECT :: 'schema_name'.'table_name' to looker;
  

• Untuk MSSQL versi 2012 atau yang lebih baru, Anda dapat menetapkan peran db_datareader kepada pengguna Looker menggunakan perintah berikut:

  USE MyDatabase;
  ALTER ROLE db_datareader ADD MEMBER looker;
  GO
  

Memberi pengguna Looker izin untuk melihat dan menghentikan kueri yang sedang berjalan

Looker harus diberi otorisasi untuk mendeteksi dan menghentikan kueri yang sedang berjalan, yang memerlukan izin berikut:

• ALTER ANY CONNECTION
• VIEW SERVER STATE

Untuk memberikan izin ini, jalankan perintah berikut:

USE Master;
GRANT ALTER ANY CONNECTION TO looker;
GRANT VIEW SERVER STATE to looker;
GO

Memberi pengguna Looker izin untuk membuat tabel

Untuk memberikan izin kepada pengguna Looker untuk membuat PDT, jalankan perintah berikut:

USE MyDatabase;
GRANT CREATE TABLE to looker;
GO

Penyiapan skema sementara

Untuk membuat skema yang dimiliki oleh pengguna Looker dan memberikan hak yang diperlukan kepada pengguna Looker, jalankan perintah ini:

CREATE SCHEMA looker_scratch AUTHORIZATION looker;

Mengonfigurasi autentikasi Kerberos

Jika Anda menggunakan autentikasi Kerberos dengan database MSSQL, ikuti langkah-langkah untuk mengonfigurasi Looker agar terhubung menggunakan Kerberos, seperti yang dijelaskan di bagian berikut.

Menyiapkan konfigurasi klien Kerberos

Pertama, Anda harus memastikan penginstalan beberapa software dan keberadaan beberapa file di mesin Looker.

Klien Kerberos

Pastikan klien Kerberos diinstal di mesin Looker dengan menjalankan kinit. Jika klien Kerberos tidak diinstal, instal biner klien Kerberos.

Misalnya, di Redhat atau CentOS, perintahnya adalah sebagai berikut:

sudo yum install krb5-workstation krb5-libs krb5-auth-dialog

Java 8

Java 8 harus diinstal di mesin Looker dan di PATH serta JAVA_HOME pengguna Looker. Jika perlu, instal secara lokal di direktori looker.

Java Cryptography Extension

1. Download dan instal Java Cryptography Extension (JCE) untuk Java 8 dari halaman download Oracle ini.

   • Temukan direktori jre/lib/security untuk penginstalan Java.
   • Hapus file JAR berikut dari direktori ini: local_policy.jar dan US_export_policy.jar.
   • Ganti kedua file ini dengan file JAR yang disertakan dalam download JCE Unlimited Strength Jurisdiction Policy Files.

   Anda mungkin dapat menggunakan versi Java sebelum Java 8 dengan JCE yang diinstal, tetapi hal ini tidak direkomendasikan.

2. Perbarui JAVA_HOME dan PATH di ~looker/.bash_profile agar mengarah ke penginstalan Java dan source ~/.bash_profile yang benar atau logout lalu login lagi.

3. Verifikasi versi Java dengan java -version.

4. Verifikasi variabel lingkungan JAVA_HOME dengan echo $JAVA_HOME.

gss-jaas.conf

Buat file gss-jaas.conf di direktori looker dengan konten berikut:

com.sun.security.jgss.initiate {
    com.sun.security.auth.module.Krb5LoginModule required
    useTicketCache=true
    doNotPrompt=true;
};

Jika diperlukan untuk pengujian, debug=true dapat ditambahkan ke file ini seperti ini:

com.sun.security.jgss.initiate {
    com.sun.security.auth.module.Krb5LoginModule required
    useTicketCache=true
    doNotPrompt=true
    debug=true;
};

krb5.conf

Server yang menjalankan Looker juga harus memiliki file krb5.conf yang valid. Secara default, file ini berada di /etc/krb5.conf. Jika berada di lokasi lain, hal itu harus ditunjukkan di lingkungan (KRB5_CONFIG di lingkungan shell).

Anda mungkin perlu menyalinnya dari mesin klien Kerberos lain.

lookerstart.cfg

Arahkan ke file gss-jaas.conf dan krb5.conf dengan membuat file di direktori looker (direktori yang sama yang berisi skrip startup looker) bernama lookerstart.cfg yang berisi baris berikut:

  JAVAARGS="-Djava.security.auth.login.config=/path/to/gss-jaas.conf -Djavax.security.auth.useSubjectCredsOnly=false -Djava.security.krb5.conf=/etc/krb5.conf"
  LOOKERARGS=""

Jika file krb5.conf tidak ada di /etc/krb5.conf, Anda juga perlu menambahkan variabel ini:

  -Djava.security.krb5.conf=/path/to/krb5.conf

Untuk proses debug, tambahkan variabel berikut:

  -Dsun.security.jgss.debug=true -Dsun.security.krb5.debug=true

Kemudian, mulai ulang Looker dengan ./looker restart.

Mengautentikasi dengan Kerberos

Autentikasi pengguna

1. Jika krb5.conf tidak ada di /etc/, gunakan variabel lingkungan KRB5_CONFIG untuk menunjukkan lokasinya.

2. Jalankan perintah klist untuk memastikan ada tiket yang valid di cache tiket Kerberos.

3. Jika tidak ada tiket, jalankan kinit username@REALM atau kinit username untuk membuat tiket.

4. Akun yang digunakan dengan Looker kemungkinan akan bersifat headless, sehingga Anda bisa mendapatkan file keytab dari Kerberos untuk menyimpan kredensial untuk penggunaan jangka panjang. Gunakan perintah seperti kinit -k -t looker_user.keytab username@REALM untuk mendapatkan tiket Kerberos.

Memperpanjang tiket secara otomatis

Siapkan cron job yang berjalan secara berkala untuk menyimpan tiket aktif di cache tiket Kerberos. Seberapa sering perintah ini harus dijalankan bergantung pada konfigurasi cluster. klist harus memberikan indikasi seberapa cepat tiket habis masa berlakunya.

Membuat koneksi Looker ke database Anda

Ikuti langkah-langkah berikut untuk membuat koneksi dari Looker ke database Anda:

1. Di bagian Admin Looker, pilih Connections, lalu klik Add Connection.

2. Dari menu drop-down Dialek, pilih versi Microsoft SQL Server Anda.

3. Untuk Remote Host dan Port, masukkan hostname dan port (port defaultnya adalah 1433).

   Jika Anda perlu menentukan port non-default selain 1433 dan database Anda memerlukan penggunaan koma, bukan titik dua, Anda dapat menambahkan useCommaHostPortSeparator=true di kolom Parameter JDBC tambahan di setelan koneksi, yang akan memungkinkan Anda menggunakan koma untuk Host Jarak Jauh:Port. Contoh:

   jdbc:sqlserver://hostname,1434

4. Isi detail koneksi lainnya. Sebagian besar setelan umum untuk sebagian besar dialek database. Lihat halaman dokumentasi Menghubungkan Looker ke database Anda untuk mengetahui informasi selengkapnya.

5. Untuk memverifikasi bahwa koneksi berhasil, klik Uji. Lihat halaman dokumentasi Menguji konektivitas database untuk mengetahui informasi pemecahan masalah.

6. Untuk menyimpan setelan ini, klik Hubungkan.

Mengonfigurasi koneksi Looker

Ikuti petunjuk di halaman dokumentasi Menghubungkan Looker ke database Anda untuk membuat koneksi ke database MSSQL Anda. Di bagian Additional JDBC parameters pada halaman Connection Settings, tambahkan berikut ini:

;integratedSecurity=true;authenticationScheme=JavaKerberos

Beberapa jaringan dikonfigurasi untuk dua realm Kerberos, satu untuk Windows Active Directory dan yang lainnya untuk Linux dan sistem non-Windows lainnya. Dalam hal ini, saat Realm yang berfokus pada Linux dan Realm Active Directory dikonfigurasi untuk saling memercayai, hal ini disebut "autentikasi lintas-realm".

Jika jaringan Anda menggunakan autentikasi lintas realm, Anda harus menentukan secara eksplisit principal Kerberos untuk MSSQL Server. Di kolom Additional JDBC parameters, tambahkan berikut ini:

;serverSpn=service_name/FQDN\:PORT@REALM

Mengganti FQDN dan PORT@REALM dengan informasi jaringan Anda. Contoh:

;serverSpn=MSSQLSvc/dbserver.internal.example.com:1433@AD.EXAMPLE.COM

Selain itu, halaman Setelan Koneksi di Looker memerlukan entri di kolom Nama Pengguna dan Sandi, tetapi entri ini tidak diperlukan untuk Kerberos. Masukkan nilai dummy di kolom ini.

Uji koneksi untuk memastikan koneksi dikonfigurasi dengan benar.

Dukungan fitur

Agar Looker mendukung beberapa fitur, dialek database Anda juga harus mendukungnya.

Microsoft SQL Server 2008+ mendukung fitur berikut mulai Looker 25.18:

Microsoft SQL Server 2016 mendukung fitur berikut mulai Looker 25.18:

Microsoft SQL Server 2017+ mendukung fitur berikut mulai Looker 25.18: