Chiffrement du trafic réseau
Il est vivement conseillé de chiffrer le trafic réseau entre l'application Looker et votre base de données. Choisissez l'une des options décrites dans la page Activer l'accès sécurisé aux bases de données.
Si vous souhaitez utiliser le chiffrement SSL, consultez la documentation Microsoft.
Configurer l'authentification du serveur
Looker nécessite "Authentification SQL Server" sur votre serveur MSSQL. Si votre serveur MSSQL utilise l'authentification intégrée Windows uniquement, remplacez-la par "Authentification intégrée Windows et authentification SQL Server".
Si cette option n'est pas configurée correctement, Looker ne pourra pas se connecter. Ce message s'affiche dans les messages de journal SQL Server: "Échec de la connexion avec l'authentification SQL. Le serveur est configuré pour l'authentification Windows uniquement."
Si cette modification est nécessaire, procédez comme suit:
- Dans l'Explorateur d'objets de SQL Server Management Studio, effectuez un clic droit sur le serveur, puis cliquez sur Properties (Propriétés).
- Sur la page Sécurité, sous Authentification du serveur, sélectionnez le nouveau mode d'authentification du serveur, puis cliquez sur OK.
- Dans la boîte de dialogue SQL Server Management Studio, cliquez sur OK pour confirmer la nécessité de redémarrer SQL Server.
- Dans l'explorateur d'objets, effectuez un clic droit sur le serveur, puis cliquez sur Redémarrer. Si l'agent SQL Server est en cours d'exécution, il doit également redémarrer.
Pour en savoir plus, consultez la documentation de Microsoft.
Créer un utilisateur Looker
Looker s'authentifie auprès de votre base de données à l'aide de l'authentification SQL Server. Il n'est pas possible d'utiliser un compte de domaine.
Pour créer un compte, exécutez les commandes suivantes. Remplacez some_password_here par un mot de passe unique et sécurisé:
CREATE LOGIN looker
WITH PASSWORD = 'some_password_here';
USE MyDatabase;
CREATE USER looker FOR LOGIN looker;
GO
Accorder à l'utilisateur Looker l'autorisation SELECT depuis des tables
Looker requiert l'autorisation SELECT pour chaque table ou schéma que vous souhaitez interroger. Il existe plusieurs façons d'attribuer l'autorisation SELECT:
Pour accorder l'autorisation
SELECTà des schémas individuels, exécutez la commande suivante pour chaque schéma:GRANT SELECT on SCHEMA :: 'schema_name' to looker;Pour accorder l'autorisation
SELECTà des tables individuelles, exécutez la commande suivante pour chaque table:GRANT SELECT on OBJECT :: 'schema_name'.'table_name' to looker;Pour MSSQL version 2012 ou ultérieure, vous pouvez également attribuer le rôle
db_datareaderà l'utilisateur Looker à l'aide des commandes suivantes:USE MyDatabase; ALTER ROLE db_datareader ADD MEMBER looker; GO
Accorder à l'utilisateur Looker l'autorisation d'afficher et d'arrêter l'exécution de requêtes
Looker doit être autorisé à détecter et à arrêter les requêtes en cours d'exécution, ce qui nécessite les autorisations suivantes:
ALTER ANY CONNECTIONVIEW SERVER STATE
Pour accorder ces autorisations, exécutez les commandes suivantes:
USE Master;
GRANT ALTER ANY CONNECTION TO looker;
GRANT VIEW SERVER STATE to looker;
GO
Accorder à l'utilisateur Looker l'autorisation de créer des tables
Pour autoriser l'utilisateur Looker à créer des PDT, exécutez les commandes suivantes:
USE MyDatabase;
GRANT CREATE TABLE to looker;
GO
Configuration d'un schéma temporaire
Pour créer un schéma appartenant à l'utilisateur Looker et lui accorder les droits nécessaires, exécutez la commande suivante:
CREATE SCHEMA looker_scratch AUTHORIZATION looker;
Configurer l'authentification Kerberos
Si vous utilisez l'authentification Kerberos avec votre base de données MSSQL, procédez comme suit pour configurer Looker à la connexion à l'aide de Kerberos.
Définir la configuration du client Kerberos
La première chose à faire est de s'assurer que plusieurs logiciels sont installés sur la machine Looker, y compris plusieurs.
Client Kerberos
Vérifiez que le client Kerberos est installé sur la machine Looker en exécutant kinit. Si ce n'est pas le cas, installez les binaires du client Kerberos.
Par exemple, sur Redhat/CentOS, le code se présente comme suit:
sudo yum install krb5-workstation krb5-libs krb5-auth-dialog
Java 8
Java 8 doit être installé sur la machine Looker et dans les PATH et JAVA_HOME de l'utilisateur Looker. Si nécessaire, installez-le localement dans le répertoire looker.
Extension de cryptographie Java
Téléchargez et installez l'extension Java Cryptography (JCE) pour Java 8 depuis ce site Oracle.
- Recherchez le répertoire
jre/lib/securitypour l'installation de Java. - Supprimez les fichiers JAR suivants du répertoire:
local_policy.jaretUS_export_policy.jar. - Remplacez ces deux fichiers par les fichiers JAR inclus dans le téléchargement de fichiers de règle de compétence JCE avec un degré de difficulté illimité.
Il est possible d'utiliser des versions de Java antérieures à Java 8 avec le JCE installé, mais cela n'est pas recommandé.
- Recherchez le répertoire
Mettez à jour
JAVA_HOMEetPATHdans~looker/.bash_profilepour pointer vers l'installation correcte de Java et desource ~/.bash_profile, ou déconnectez-vous, puis reconnectez-vous.Vérifiez la version de Java avec
java -version.Vérifiez la variable d'environnement
JAVA_HOMEavececho $JAVA_HOME.
gss-jaas.conf
Créez un fichier gss-jaas.conf dans le répertoire looker avec le contenu suivant:
com.sun.security.jgss.initiate {
com.sun.security.auth.module.Krb5LoginModule required
useTicketCache=true
doNotPrompt=true;
};
Si nécessaire, debug=true peut être ajouté à ce fichier comme suit:
com.sun.security.jgss.initiate {
com.sun.security.auth.module.Krb5LoginModule required
useTicketCache=true
doNotPrompt=true
debug=true;
};
krb5.conf
Le serveur qui exécute Looker doit également disposer d'un fichier krb5.conf valide. Par défaut, ce fichier se trouve dans /etc/krb5.conf. Si elle se trouve à un autre emplacement, cela doit être indiqué dans l'environnement (KRB5_CONFIG dans l'environnement shell).
Vous devrez peut-être le copier à partir d'une autre machine cliente Kerberos.
lookerstart.cfg
Pointez sur les fichiers gss-jaas.conf et krb5.conf en créant un fichier dans le répertoire looker (le même répertoire contenant le script de démarrage looker) appelé lookerstart.cfg et contenant les lignes suivantes:
JAVAARGS="-Djava.security.auth.login.config=/path/to/gss-jaas.conf -Djavax.security.auth.useSubjectCredsOnly=false -Djava.security.krb5.conf=/etc/krb5.conf"
LOOKERARGS=""
Si le fichier krb5.conf n'est pas à l'emplacement /etc/krb5.conf, il sera également nécessaire d'ajouter cette variable:
-Djava.security.krb5.conf=/path/to/krb5.conf
Pour le débogage, ajoutez les variables suivantes:
-Dsun.security.jgss.debug=true -Dsun.security.krb5.debug=true
Redémarrez ensuite Looker avec ./looker restart.
Authentification avec Kerberos
Authentification des utilisateurs
Si
krb5.confne se trouve pas dans/etc/, utilisez la variable d'environnementKRB5_CONFIGpour indiquer son emplacement.Exécutez la commande
klistpour vous assurer qu'il y a un ticket valide dans le cache de tickets Kerberos.S'il n'y a pas de ticket, exécutez
kinit username@REALMoukinit usernamepour créer le ticket.Le compte utilisé avec Looker sera probablement sans interface graphique. Vous pourrez donc obtenir un fichier keytab auprès de Kerberos pour stocker les identifiants afin de les utiliser à long terme. Utilisez une commande telle que
kinit -k -t looker_user.keytab username@REALMpour obtenir le ticket Kerberos.
Renouveler automatiquement le billet
Configurez une job Cron qui s'exécute de temps en temps pour conserver un ticket actif dans le cache des tickets Kerberos. La fréquence d'exécution dépend de la configuration du cluster. klist devrait vous indiquer dans combien de temps les billets expirent.
Créer la connexion Looker à votre base de données
Dans la section Administration de Looker, sélectionnez Connexions, puis cliquez sur Ajouter une connexion.
Saisissez les informations de connexion. La majorité des paramètres sont communs à la plupart des dialectes de base de données. Pour en savoir plus, consultez la page de documentation Connecter Looker à votre base de données. Les champs suivants contiennent des informations supplémentaires qui s'appliquent à Microsoft SQL Server:
- Dialect: sélectionnez la version appropriée de Microsoft SQL Server.
Remote Host (Hôte distant) et Port: saisissez le nom d'hôte et le port (le port par défaut est 1433).
Si vous devez spécifier un port autre que 1433 et que votre base de données nécessite le recours à une virgule au lieu du signe deux-points, vous pouvez ajouter
useCommaHostPortSeparator=truedans le champ Paramètres JDBC supplémentaires plus bas dans les paramètres de connexion. Vous pourrez ainsi utiliser une virgule pour Remote Host:Port. Exemple :jdbc:sqlserver://hostname,1434
Pour vérifier que la connexion a réussi, cliquez sur Tester. Pour en savoir plus sur le dépannage, consultez la page de test de la connectivité de la base de données.
Pour enregistrer ces paramètres, cliquez sur Connecter.
Configurer la connexion Looker
Suivez les instructions de la page de documentation Connecter Looker à votre base de données pour créer une connexion à votre base de données MSSQL. Dans la section Autres paramètres JDBC de la page Paramètres de connexion, ajoutez les éléments suivants:
;integratedSecurity=true;authenticationScheme=JavaKerberos
Certains réseaux sont configurés pour deux domaines Kerberos : l'un pour Windows Active Directory, l'autre pour Linux et les autres. Dans ce cas, lorsque le domaine Linux et le domaine Active Directory sont configurés pour se faire confiance les uns aux autres, ils s'appellent l'authentification multidomaine.
Si votre réseau utilise l'authentification interdomaine, vous devez spécifier explicitement le compte principal Kerberos pour MSSQL Server. Dans le champ Autres paramètres JDBC, ajoutez le code suivant:
;serverSpn=service_name/FQDN\:PORT@REALM
Remplacez FQDN et PORT@REALM par les informations de votre réseau. Exemple :
;serverSpn=MSSQLSvc/dbserver.internal.example.com:1433@AD.EXAMPLE.COM
En outre, la page Paramètres de connexion dans Looker exige des entrées dans les champs Nom d'utilisateur et Mot de passe, mais elles ne sont pas obligatoires pour Kerberos. Saisissez des valeurs factices dans ces champs.
Testez la connexion pour vous assurer qu'elle est correctement configurée.
Prise en charge de fonctionnalités
Pour que Looker prenne en charge certaines fonctionnalités, votre dialecte de base de données doit également les prendre en charge.
Microsoft SQL Server 2008 et ses versions ultérieures sont compatibles avec les fonctionnalités suivantes à partir de Looker 23.8:
| Caractéristique | Compatible ? |
|---|---|
| Niveau d'assistance | Intégration |
| Looker (Google Cloud Core) | Non |
| Agrégations symétriques | Oui |
| Tables dérivées | Oui |
| Tables dérivées SQL persistantes | Oui |
| Tables dérivées natives persistantes | Oui |
| Vues stables | Oui |
| Arrêt des requêtes | Oui |
| Pivots basés sur SQL | Oui |
| Fuseaux horaires | Non |
| SSL | Oui |
| Sous-totaux | Oui |
| Paramètres JDBC supplémentaires | Oui |
| Sensible à la casse | Non |
| Type d'emplacement | Oui |
| Type de liste | Non |
| Centile | Non |
| Centile distinct | Non |
| Processus d'affichage de l'exécuteur SQL | Oui |
| Table "Décrire" de l'exécuteur SQL | Oui |
| Index d'émissions SQL Runner | Oui |
| Exécuteur SQL 10 | Oui |
| Nombre d'exécuteurs SQL | Oui |
| SQL Explain | Non |
| Identifiants OAuth | Non |
| Commentaires contextuels | Oui |
| Pooling de connexions | Non |
| croquis HLL | Non |
| Reconnaissance d'agrégats. | Oui |
| Augmentation de tables PDT | Non |
| Millisecondes | Oui |
| Microsecondes | Oui |
| Vues matérialisées | Non |
| Nombre approximatif distinct | Non |
Microsoft SQL Server 2016 est compatible avec les fonctionnalités suivantes à partir de Looker 23.8:
| Caractéristique | Compatible ? |
|---|---|
| Niveau d'assistance | Compatible |
| Looker (Google Cloud Core) | Non |
| Agrégations symétriques | Oui |
| Tables dérivées | Oui |
| Tables dérivées SQL persistantes | Oui |
| Tables dérivées natives persistantes | Oui |
| Vues stables | Oui |
| Arrêt des requêtes | Oui |
| Pivots basés sur SQL | Oui |
| Fuseaux horaires | Oui |
| SSL | Oui |
| Sous-totaux | Oui |
| Paramètres JDBC supplémentaires | Oui |
| Sensible à la casse | Non |
| Type d'emplacement | Oui |
| Type de liste | Non |
| Centile | Non |
| Centile distinct | Non |
| Processus d'affichage de l'exécuteur SQL | Oui |
| Table "Décrire" de l'exécuteur SQL | Oui |
| Index d'émissions SQL Runner | Oui |
| Exécuteur SQL 10 | Oui |
| Nombre d'exécuteurs SQL | Oui |
| SQL Explain | Non |
| Identifiants OAuth | Non |
| Commentaires contextuels | Oui |
| Pooling de connexions | Non |
| croquis HLL | Non |
| Reconnaissance d'agrégats. | Oui |
| Augmentation de tables PDT | Non |
| Millisecondes | Oui |
| Microsecondes | Oui |
| Vues matérialisées | Non |
| Nombre approximatif distinct | Non |
Microsoft SQL Server 2017 et ses versions ultérieures sont compatibles avec les fonctionnalités suivantes à partir de Looker 23.8:
| Caractéristique | Compatible ? |
|---|---|
| Niveau d'assistance | Compatible |
| Looker (Google Cloud Core) | Oui |
| Agrégations symétriques | Oui |
| Tables dérivées | Oui |
| Tables dérivées SQL persistantes | Oui |
| Tables dérivées natives persistantes | Oui |
| Vues stables | Oui |
| Arrêt des requêtes | Oui |
| Pivots basés sur SQL | Oui |
| Fuseaux horaires | Oui |
| SSL | Oui |
| Sous-totaux | Oui |
| Paramètres JDBC supplémentaires | Oui |
| Sensible à la casse | Non |
| Type d'emplacement | Oui |
| Type de liste | Non |
| Centile | Non |
| Centile distinct | Non |
| Processus d'affichage de l'exécuteur SQL | Oui |
| Table "Décrire" de l'exécuteur SQL | Oui |
| Index d'émissions SQL Runner | Oui |
| Exécuteur SQL 10 | Oui |
| Nombre d'exécuteurs SQL | Oui |
| SQL Explain | Non |
| Identifiants OAuth | Non |
| Commentaires contextuels | Oui |
| Pooling de connexions | Non |
| croquis HLL | Non |
| Reconnaissance d'agrégats. | Oui |
| Augmentation de tables PDT | Non |
| Millisecondes | Oui |
| Microsecondes | Oui |
| Vues matérialisées | Non |
| Nombre approximatif distinct | Non |