Encripta el tráfico de red
Looker recomienda que encripte el tráfico de red entre la aplicación de Looker y su base de datos. Considera una de las opciones descritas en la página de documentación Habilita el acceso seguro a la base de datos.
Si te interesa usar la encriptación SSL, consulta la documentación de Microsoft.
Configura la autenticación del servidor
Looker requiere “Autenticación de SQL Server” en el servidor de MSSQL. Si tu servidor MSSQL solo está configurado como “Autenticación integrada de Windows”, cambia la configuración del servidor a “Autenticación integrada de Windows y Autenticación de SQL Server”.
Si no la configuras correctamente, Looker no podrá conectarse. Aparecerá en sus mensajes de registro de SQL Server, como “Un intento de acceso con la autenticación de SQL falló. El servidor está configurado solo para la autenticación de Windows".
Si este cambio es obligatorio, puedes completar los siguientes pasos:
- En el Explorador de objetos de SQL Server Management Studio, haga clic con el botón derecho en el servidor y, luego, en Propiedades.
- En la página Seguridad, en Autenticación del servidor, selecciona el nuevo modo de autenticación del servidor y haz clic en Aceptar.
- En el cuadro de diálogo SQL Server Management Studio, haz clic en OK para aceptar el requisito de reiniciar SQL Server.
- En Explorador de objetos, haz clic con el botón derecho en tu servidor y, luego, en Reiniciar. Si se ejecuta SQL Server, también debe reiniciarse.
Puedes obtener más información al respecto en la documentación de Microsoft.
Crea un usuario de Looker
Looker autentica tu base de datos con SQL Server Authentication. No se admite el uso de una cuenta de dominio.
Para crear una cuenta, ejecute los siguientes comandos. Cambia some_password_here a una contraseña única y segura:
CREATE LOGIN looker
WITH PASSWORD = 'some_password_here';
USE MyDatabase;
CREATE USER looker FOR LOGIN looker;
GO
Otorga al usuario de Looker permiso para SELECT desde las tablas
Looker requiere el permiso SELECT para cada tabla o esquema que desees consultar. Hay varias formas de asignar el permiso SELECT:
A fin de otorgar permiso
SELECTa esquemas individuales, ejecuta el siguiente comando para cada esquema:GRANT SELECT on SCHEMA :: 'schema_name' to looker;A fin de otorgar permiso
SELECTa tablas individuales, ejecuta el siguiente comando para cada tabla:GRANT SELECT on OBJECT :: 'schema_name'.'table_name' to looker;Para la versión 2012 de MSSQL o una posterior, también puedes asignar al usuario de Looker la función
db_datareadermediante estos comandos:USE MyDatabase; ALTER ROLE db_datareader ADD MEMBER looker; GO
Otorga permiso al usuario de Looker para ver y detener la ejecución de consultas
Looker debe estar autorizado para detectar y detener las consultas en ejecución, lo que requiere los siguientes permisos:
ALTER ANY CONNECTIONVIEW SERVER STATE
Para otorgar estos permisos, ejecuta los siguientes comandos:
USE Master;
GRANT ALTER ANY CONNECTION TO looker;
GRANT VIEW SERVER STATE to looker;
GO
Otorga permiso al usuario de Looker para crear tablas
Para permitir que el usuario de Looker cree PDT, ejecuta los siguientes comandos:
USE MyDatabase;
GRANT CREATE TABLE to looker;
GO
Configuración del esquema temporal
Para crear un esquema que sea propiedad del usuario de Looker y otorgarle los derechos necesarios, ejecuta este comando:
CREATE SCHEMA looker_scratch AUTHORIZATION looker;
Configuración de la autenticación de Kerberos
Si usas la autenticación de Kerberos con tu base de datos MSSQL, sigue estos pasos para configurar Looker a fin de que se conecte mediante Kerberos.
Cómo configurar el cliente de Kerberos
Lo primero que debes hacer es garantizar la instalación de varios tipos de software y la presencia de varios archivos en la máquina de Looker.
Cliente de Kerberos
Ejecuta kinit para verificar que el cliente de Kerberos esté instalado en la máquina de Looker. Si el cliente de Kerberos no lo está, instala los objetos binarios del cliente de Kerberos.
Por ejemplo, en Red Hat/CentOS, se vería de la siguiente manera:
sudo yum install krb5-workstation krb5-libs krb5-auth-dialog
Java 8
Java 8 debe estar instalado en la máquina de Looker y en la PATH y JAVA_HOME del usuario de Looker. Si es necesario, instálalo de forma local en el directorio looker.
Extensión de criptografía de Java
Descarga y, luego, instala la extensión de criptografía de Java (JCE) para Java 8 desde este sitio de Oracle.
- Busca el directorio
jre/lib/securitypara la instalación de Java. - Quita los siguientes archivos JAR de este directorio:
local_policy.jaryUS_export_policy.jar. - Reemplaza estos dos archivos por los archivos JAR incluidos en la descarga de los archivos de la política de jurisdicción ilimitada de JCE.
Es posible usar versiones de Java anteriores a Java 8 con JCE instalado, pero no es recomendable.
- Busca el directorio
Actualiza
JAVA_HOMEyPATHen~looker/.bash_profilepara que apunten a la instalación correcta de Java ysource ~/.bash_profile, o bien sal y vuelve a acceder.Verifica la versión de Java con
java -version.Verifica la variable de entorno
JAVA_HOMEconecho $JAVA_HOME.
gss-jaas.conf
Crea un archivo gss-jaas.conf en el directorio looker con este contenido:
com.sun.security.jgss.initiate {
com.sun.security.auth.module.Krb5LoginModule required
useTicketCache=true
doNotPrompt=true;
};
Si es necesario para las pruebas, se puede agregar debug=true a este archivo de la siguiente manera:
com.sun.security.jgss.initiate {
com.sun.security.auth.module.Krb5LoginModule required
useTicketCache=true
doNotPrompt=true
debug=true;
};
krb5.conf
El servidor que ejecuta Looker también debe tener un archivo krb5.conf válido. De forma predeterminada, este archivo está en /etc/krb5.conf. Si se encuentra en otra ubicación, se debe indicar en el entorno (KRB5_CONFIG en el entorno de shell).
Es posible que deba copiar esto desde otra máquina cliente de Kerberos.
lookerstart.cfg
Para apuntar a los archivos gss-jaas.conf y krb5.conf, crea un archivo en el directorio looker (el mismo directorio que contiene la secuencia de comandos de inicio looker) llamado lookerstart.cfg que contiene las siguientes líneas:
JAVAARGS="-Djava.security.auth.login.config=/path/to/gss-jaas.conf -Djavax.security.auth.useSubjectCredsOnly=false -Djava.security.krb5.conf=/etc/krb5.conf"
LOOKERARGS=""
Si el archivo krb5.conf no está en /etc/krb5.conf, también será necesario agregar esta variable:
-Djava.security.krb5.conf=/path/to/krb5.conf
Para la depuración, agrega estas variables:
-Dsun.security.jgss.debug=true -Dsun.security.krb5.debug=true
Luego, reinicia Looker con ./looker restart.
Autentica con Kerberos
Autenticación de usuarios
Si
krb5.confno está en/etc/, usa la variable de entornoKRB5_CONFIGpara indicar su ubicación.Ejecuta el comando
klistpara asegurarte de que haya un ticket válido en la caché de tickets de Kerberos.Si no hay una entrada, ejecuta
kinit username@REALMokinit usernamepara crearla.Es probable que la cuenta que se usa con Looker no tenga interfaz gráfica, por lo que puede obtener un archivo keytab de Kerberos para almacenar la credencial a largo plazo. Usa un comando como
kinit -k -t looker_user.keytab username@REALMpara obtener el ticket de Kerberos.
Renovación automática del ticket
Configura un trabajo cron que se ejecute con frecuencia para mantener un ticket activo en la caché de tickets de Kerberos. La frecuencia con la que esto debería ejecutarse depende de la configuración del clúster. klist debe indicar qué tan pronto vencen los boletos.
Crea la conexión de Looker a tu base de datos
En la sección Administrador de Looker, seleccione Conexiones y, luego, haga clic en Agregar conexión.
Completa los detalles de la conexión. La mayoría de las opciones de configuración son comunes en la mayoría de los dialectos de las bases de datos. Consulta la página de documentación Conecta Looker a tu base de datos para obtener más información. Los siguientes campos tienen información adicional que se aplica a Microsoft SQL Server:
- Dialect (Selección): Selecciona la versión adecuada de Microsoft SQL Server.
Remote Host y Port: Ingresa el nombre de host y el puerto (el puerto predeterminado es 1433).
Si necesitas especificar un puerto no predeterminado que no sea 1433 y tu base de datos requiere el uso de una coma en lugar de dos puntos, puedes agregar
useCommaHostPortSeparator=trueen el campo Parámetros adicionales de JDBC, que se encuentra más abajo en la configuración de la conexión, lo que te permitirá usar una coma para Remote Host:Puerto. Por ejemplo:jdbc:sqlserver://hostname,1434
Para verificar que la conexión se realice de forma correcta, haz clic en Probar. Consulta la página de documentación sobre cómo probar la conectividad de la base de datos para obtener información sobre la solución de problemas.
Para guardar esta configuración, haz clic en Conectar.
Configura la conexión de Looker
Sigue las instrucciones de la página de documentación Conecta Looker a tu base de datos para crear una conexión a tu base de datos MSSQL. En la sección Parámetros adicionales de JDBC de la página Configuración de conexión, agregue lo siguiente:
;integratedSecurity=true;authenticationScheme=JavaKerberos
Algunas redes están configuradas con dos dominios de Kerberos: uno para Windows Active Directory y otro para Linux y otros sistemas que no son Windows. En ese caso, cuando el dominio de Linux y el dominio de Active Directory se configuran para confiar entre sí, se lo llama "autenticación entre dominios".
Si su red usa autenticación entre dominios, debe especificar de forma explícita la principal de Kerberos para el servidor MSSQL. En el campo Parámetros de JDBC adicionales, agrega lo siguiente:
;serverSpn=service_name/FQDN\:PORT@REALM
Reemplaza FQDN y PORT@REALM por la información de tu red. Por ejemplo:
;serverSpn=MSSQLSvc/dbserver.internal.example.com:1433@AD.EXAMPLE.COM
Además, la página Configuración de conexión de Looker requiere entradas en los campos Username y Password, pero no son obligatorios para Kerberos. Ingrese valores ficticios en estos campos.
Prueba la conexión para asegurarte de que esté configurada correctamente.
Compatibilidad de características
Para que Looker admita algunas funciones, tu dialecto de base de datos también debe admitirlas.
Microsoft SQL Server 2008+ es compatible con las siguientes funciones a partir de Looker 23.8:
| Atributo | ¿Es compatible? |
|---|---|
| Nivel de asistencia | Integración |
| Looker (Google Cloud Core) | No |
| Agregaciones simétricas | Sí |
| Tablas derivadas | Sí |
| Tablas derivadas de SQL persistente | Sí |
| Tablas derivadas persistentes nativas | Sí |
| Vistas estables | Sí |
| Asesinato de consultas | Sí |
| Pivotes basados en SQL | Sí |
| Zonas horarias | No |
| SSL | Sí |
| Subtotales | Sí |
| Parámetros adicionales de JDBC | Sí |
| Distingue mayúsculas de minúsculas | No |
| Tipo de ubicación | Sí |
| Tipo de lista | No |
| Percentil | No |
| Percentil distintivo | No |
| Procesos de Show del ejecutor de SQL | Sí |
| Tabla de descripción del ejecutor de SQL | Sí |
| Índices de SQL Runner Show | Sí |
| Ejecutor de SQL Select 10 | Sí |
| Recuento de ejecutores de SQL | Sí |
| Explicación de SQL | No |
| Credenciales de OAuth | No |
| Comentarios de contexto | Sí |
| Agrupación de conexiones | No |
| Bocetos de HLL | No |
| Reconocimiento global | Sí |
| PDT incrementales | No |
| Milisegundos | Sí |
| Microsegundos | Sí |
| Vistas materializadas | No |
| Distinto del recuento aproximado | No |
Microsoft SQL Server 2016 admite las siguientes funciones a partir de Looker 23.8:
| Atributo | ¿Es compatible? |
|---|---|
| Nivel de asistencia | Admitido |
| Looker (Google Cloud Core) | No |
| Agregaciones simétricas | Sí |
| Tablas derivadas | Sí |
| Tablas derivadas de SQL persistente | Sí |
| Tablas derivadas persistentes nativas | Sí |
| Vistas estables | Sí |
| Asesinato de consultas | Sí |
| Pivotes basados en SQL | Sí |
| Zonas horarias | Sí |
| SSL | Sí |
| Subtotales | Sí |
| Parámetros adicionales de JDBC | Sí |
| Distingue mayúsculas de minúsculas | No |
| Tipo de ubicación | Sí |
| Tipo de lista | No |
| Percentil | No |
| Percentil distintivo | No |
| Procesos de Show del ejecutor de SQL | Sí |
| Tabla de descripción del ejecutor de SQL | Sí |
| Índices de SQL Runner Show | Sí |
| Ejecutor de SQL Select 10 | Sí |
| Recuento de ejecutores de SQL | Sí |
| Explicación de SQL | No |
| Credenciales de OAuth | No |
| Comentarios de contexto | Sí |
| Agrupación de conexiones | No |
| Bocetos de HLL | No |
| Reconocimiento global | Sí |
| PDT incrementales | No |
| Milisegundos | Sí |
| Microsegundos | Sí |
| Vistas materializadas | No |
| Distinto del recuento aproximado | No |
Microsoft SQL Server 2017+ es compatible con las siguientes funciones a partir de Looker 23.8:
| Atributo | ¿Es compatible? |
|---|---|
| Nivel de asistencia | Admitido |
| Looker (Google Cloud Core) | Sí |
| Agregaciones simétricas | Sí |
| Tablas derivadas | Sí |
| Tablas derivadas de SQL persistente | Sí |
| Tablas derivadas persistentes nativas | Sí |
| Vistas estables | Sí |
| Asesinato de consultas | Sí |
| Pivotes basados en SQL | Sí |
| Zonas horarias | Sí |
| SSL | Sí |
| Subtotales | Sí |
| Parámetros adicionales de JDBC | Sí |
| Distingue mayúsculas de minúsculas | No |
| Tipo de ubicación | Sí |
| Tipo de lista | No |
| Percentil | No |
| Percentil distintivo | No |
| Procesos de Show del ejecutor de SQL | Sí |
| Tabla de descripción del ejecutor de SQL | Sí |
| Índices de SQL Runner Show | Sí |
| Ejecutor de SQL Select 10 | Sí |
| Recuento de ejecutores de SQL | Sí |
| Explicación de SQL | No |
| Credenciales de OAuth | No |
| Comentarios de contexto | Sí |
| Agrupación de conexiones | No |
| Bocetos de HLL | No |
| Reconocimiento global | Sí |
| PDT incrementales | No |
| Milisegundos | Sí |
| Microsegundos | Sí |
| Vistas materializadas | No |
| Distinto del recuento aproximado | No |