Partie 6 - Configuration après l’installation

Configurer SSL/TLS depuis l’équilibreur de charge vers Tableau Server

Certaines organisations exigent un canal de chiffrement de bout en bout du client au service principal. L’architecture de référence par défaut telle que décrite jusqu’ici spécifie SSL du client à l’équilibreur de charge exécuté dans le niveau Web de votre organisation.

Cette section décrit comment configurer SSL/TLS pour Tableau Server et la passerelle indépendante dans l’exemple d’architecture de référence AWS. Pour un exemple de configuration décrivant comment configurer SSL/TLS sur Apache dans l’architecture de référence AWS, consultez Exemple : Configurer SSL/TLS dans l’architecture de référence AWS.

À l’heure actuelle, TLS n’est pas pris en charge sur les processus principaux de Tableau Server qui s’exécutent dans la plage 8000-9000. Pour activer TLS, vous devez configurer la passerelle indépendante avec une connexion par relais à Tableau Server.

Cette procédure décrit comment activer et configurer TLS sur la passerelle indépendante vers Tableau Server et Tableau Server vers la passerelle indépendante. La procédure chiffre le trafic de relais sur HTTPS/443 et le trafic de maintenance sur HTTPS/21319.

Les procédures Linux décrites tout au long de cet exemple montrent des commandes pour les distributions de type RHEL. Plus précisément, les commandes présentées ici ont été développées avec la distribution Amazon Linux 2. Si vous exécutez une distribution Ubuntu, modifiez les commandes en conséquence.

Les conseils ici sont prescriptifs pour l’exemple d’architecture de référence AWS spécifique tel que présenté dans ce guide. Par conséquent, les configurations facultatives ne sont pas incluses. Pour obtenir une documentation de référence complète, consultez Configurer TLS sur une passerelle indépendante (Linux(Le lien s’ouvre dans une nouvelle fenêtre)).

Avant de configurer TLS

Effectuez les configurations TLS en dehors des heures ouvrables. La configuration nécessite au moins un redémarrage de Tableau Server. Si vous exécutez un déploiement complet d’architecture de référence à quatre nœuds, le redémarrage peut prendre un certain temps.

Vérifiez que les clients peuvent se connecter à Tableau Server via HTTP. La configuration de TLS avec une passerelle indépendante est un processus en plusieurs étapes et peut nécessiter un dépannage. Par conséquent, nous vous recommandons de commencer par un déploiement Tableau Server entièrement opérationnel avant de configurer TLS.
Collectez les certificats TLS/SSL, les clés et les actifs associés. Vous aurez besoin de certificats SSL pour les passerelles indépendantes et pour Tableau Server. Pour simplifier la gestion et le déploiement des certificats, et comme meilleure pratique de sécurité, nous vous recommandons d’utiliser des certificats générés par une autorité de certification (AC) tierce de confiance majeure. Vous pouvez aussi générer des certificats auto-signés ou utiliser des certificats d’une PKI pour TLS.
Dans cette rubrique, l’exemple de configuration utilise les noms de ressources ci-après à titre d’illustration :
- tsig-ssl.crt : le certificat TLS/SSL pour la passerelle indépendante.
- tsig-ssl.key : la clé privée pour tsig-ssl.crt sur la passerelle indépendante.
- ts-ssl.crt : le certificat TLS/SSL pour Tableau Server.
- ts-ssl.key : la clé privée pour tsig-ssl.crt sur Tableau Server.
- tableau-server-CA.pem : le certificat racine pour l’AC qui génère des certificats pour les ordinateurs Tableau Server. Ce certificat n’est généralement pas requis si vous utilisez les certificats des principales autorités de certification tierces de confiance.
- rootTSIG-CACert.pem : le certificat racine pour l’AC qui génère des certificats pour les ordinateurs de la passerelle indépendante. Ce certificat n’est généralement pas requis si vous utilisez les certificats des principales autorités de certification tierces de confiance.
- D’autres fichiers de certificat et de clé sont requis pour l’autorisation SAML. Ils sont décrits en détail dans la partie 5 du présent guide.
- Si votre mise en œuvre nécessite l’utilisation d’un fichier de chaîne de certificats, consultez l’article de la base de connaissances, Configurer TLS sur la passerelle indépendante lors de l’utilisation d’un certificat doté d’une chaîne de certificats(Le lien s’ouvre dans une nouvelle fenêtre).
Vérifiez que vous avez accès à un fournisseur d’identité. Si vous utilisez un fournisseur d’identité pour l’authentification, vous devrez probablement apporter des modifications aux URL du destinataire et de destination au niveau du fournisseur d’identité après avoir configuré SSL/TLS.

Configurer les ordinateurs de la passerelle indépendante pour TLS

La configuration de TLS peut être un processus propice aux erreurs. Étant donné que la résolution d’erreurs de deux instances de la passerelle indépendante peut prendre du temps, nous vous recommandons d’activer et de configurer TLS sur le déploiement EDG avec une seule passerelle indépendante. Après avoir validé que TLS fonctionne dans le déploiement, configurez le deuxième ordinateur de la passerelle indépendante.

Étape 1 : distribuer les certificats et les clés à l’ordinateur de la passerelle indépendante

Vous pouvez distribuer les actifs dans n’importe quel répertoire arbitraire tant que l’utilisateur tsig-httpd dispose d’un accès en lecture aux fichiers. Les chemins d’accès à ces fichiers sont référencés dans d’autres procédures. Nous utiliserons les exemples de chemins sous /etc/ssl, comme illustré ci-dessous, tout au long de la rubrique.

Créez un répertoire pour la clé privée :
```
sudo mkdir -p /etc/ssl/private
```
Copiez les fichiers de certificat et de clé dans les chemins d’accès /etc/ssl. Par exemple,
```
sudo cp tsig-ssl.crt /etc/ssl/certs/
```
```
sudo cp tsig-ssl.key /etc/ssl/private/
```
(Facultatif) Si vous utilisez un certificat auto-signé ou PKI pour SSL/TLS sur Tableau Server, vous devez également copier le fichier de certificat racine d’autorité de certification sur l’ordinateur de la passerelle indépendante. Par exemple,
```
sudo cp tableau-server-CA.pem /etc/ssl/certs/
```

Étape 2 : mettre à jour les variables d’environnement pour TLS

Vous devez mettre à jour les variables d’environnement de port et de protocole pour la configuration de la passerelle indépendante.

Modifiez ces valeurs en mettant à jour le fichier,/etc/opt/tableau/tableau_tsig/environment.bash, comme suit :

TSIG_HK_PROTOCOL="https"
TSIG_PORT="443"
TSIG_PROTOCOL="https"

Étape 3 : mettre à jour le fichier de configuration du stub pour le protocole HK

Modifiez manuellement le fichier de configuration du stub (/var/opt/tableau/tableau_tsig/config/httpd.conf.stub) pour définir les directives Apache httpd liées à TLS pour le protocole de maintenance (HK).

Le fichier de configuration de stub inclut un bloc de directives liées à TLS qui sont commentées avec un marqueur #TLS#. Supprimez les marqueurs des directives comme indiqué dans l’exemple ci-dessous. Notez que l’exemple montre l’utilisation du certificat racine d’autorité de certification pour le certificat SSL utilisé sur Tableau Server avec l’option SSLCACertificateFile.

#TLS# SSLPassPhraseDialog exec:/path/to/file
<VirtualHost *:${TSIG_HK_PORT}>
SSLEngine on
#TLS# SSLHonorCipherOrder on
#TLS# SSLCompression off
SSLCertificateFile /etc/ssl/certs/tsig-ssl.crt
SSLCertificateKeyFile /etc/ssl/private/tsig-ssl.key
SSLCACertificateFile /etc/ssl/certs/tableau-server-CA.pem
#TLS# SSLCARevocationFile /path/to/file
</VirtualHost>

Ces modifications seront perdues si vous réinstallez la passerelle indépendante. Nous vous recommandons de faire une copie de sauvegarde.

Étape 4 : copier le fichier stub et redémarrez le service

Copiez le fichier que vous avez mis à jour à la dernière étape pour mettre à jour httpd.conf avec les modifications :
```
cp /var/opt/tableau/tableau_tsig/config/httpd.conf.stub /var/opt/tableau/tableau_tsig/config/httpd.conf
```

Redémarrez le service de passerelle indépendante :

sudo su - tableau-tsig
systemctl --user restart tsig-httpd
exit

Après le redémarrage, la passerelle indépendante ne sera opérationnelle qu’après exécution de la prochaine série d’étapes sur Tableau Server. Une fois que vous avez terminé les étapes sur Tableau Server, la passerelle indépendante récupère les modifications et se met en ligne.

Configurer le nœud 1 Tableau Server pour TLS

Procédez comme suit sur le nœud 1 du déploiement Tableau Server.

Étape 1 : copier les certificats et les clés, et arrêter TSM

Vérifiez que les certificats et les clés « SSL externe » de Tableau Server sont copiés sur le nœud 1.
Pour minimiser les temps d’arrêt, nous vous recommandons d’arrêter TSM, d’exécuter les étapes suivantes, puis de démarrer TSM une fois les modifications appliquées :
tsm stop

Étape 2 : définir les actifs de certificat et activer la configuration de la passerelle indépendante

Spécifiez l’emplacement des fichiers de certificat et de clé pour la passerelle indépendante. Ces chemins font référence à l’emplacement sur les ordinateurs de la passerelle indépendante. Notez que cet exemple part du principe que le même certificat et la même paire de clés sont utilisés pour protéger le trafic HTTPS et de maintenance :
```
tsm configuration set -k gateway.tsig.ssl.cert.file_name -v /etc/ssl/certs/tsig-ssl.crt --force-keys 
tsm configuration set -k gateway.tsig.ssl.key.file_name -v /etc/ssl/private/tsig-ssl.key --force-keys	
```

Activez TLS pour les protocoles HTTPS et HK pour la passerelle indépendante :

tsm configuration set -k gateway.tsig.ssl.enabled -v true --force-keys
tsm configuration set -k gateway.tsig.hk.ssl.enabled -v true --force-keys

(Facultatif) Si vous utilisez un certificat auto-signé ou PKI pour SSL/TLS sur la passerelle indépendante, vous devez téléverser le fichier de certificat racine de l’autorité de certification. Le fichier de certificat racine de l’autorité de certification est le certificat racine utilisé pour générer des certificats pour les ordinateurs de la passerelle indépendante. Par exemple,
```
tsm security custom-cert add -c rootTSIG-CACert.pem
```
(Facultatif) Si vous utilisez un certificat auto-signé ou PKI pour SSL/TLS sur Tableau Server, vous devez également copier le fichier de certificat racine de l’autorité de certification sur le répertoire /etc/ssl/certs de la passerelle indépendante. Le fichier de certificat racine de l’autorité de certification est le certificat racine utilisé pour générer des certificats pour les ordinateurs Tableau Server. Une fois le certificat copié sur la passerelle indépendante, vous devez indiquer l’emplacement du certificat sur le nœud 1 avec la commande tsm suivante. Par exemple,
```
tsm configuration set -k gateway.tsig.ssl.proxy.gateway_relay_cluster.cacertificatefile -v /etc/ssl/certs/tableau-server-CA.pem --force-keys
```
(Facultatif : à des fins de test uniquement) Si vous utilisez le partage de certificats auto-signés ou PKI entre ordinateurs et que, par conséquent, les noms de sujet sur les certificats ne correspondent pas aux noms d’ordinateur, vous devez désactiver la vérification des certificats.
```
tsm configuration set -k gateway.tsig.ssl.proxy.verify -v optional_no_ca --force-keys
```

Étape 3 : activer « SSL externe » pour Tableau Server et appliquer les modifications

Activez et configurez « SSL externe » sur Tableau Server :

tsm security external-ssl enable --cert-file ts-ssl.crt --key-file ts-ssl.key

Appliquez les modifications.
```
tsm pending-changes apply
```

Étape 4 : mettre à jour le fichier JSON de configuration de la passerelle et démarrez tsm

Mettez à jour le fichier de configuration de la passerelle indépendante (par exemple, tsig.json ) côté Tableau Server pour spécifier le protocole https pour les objets de la passerelle indépendante :
```
"protocol" : "https",
```
Supprimez (ou commentez) l’information de connexion pour la deuxième instance de la passerelle indépendante. Veillez à vérifier le fichier JSON dans un éditeur externe avant de l’enregistrer.
Après avoir configuré et validé TLS pour l’instance unique de la passerelle indépendante, vous mettrez à jour ce fichier JSON avec l’information de connexion pour la deuxième instance de la passerelle indépendante.
Exécutez la commande suivante pour à mettre à jour la configuration mine de la passerelle indépendante :
```
tsm topology external-services gateway update -c tsig.json
```
Démarrez TSM.
```
tsm start
```
Lorsque TSM démarre, connectez-vous à l’instance de la passerelle indépendante et redémarrez le service tsig-httpd :
```
sudo su - tableau-tsig
```
```
systemctl --user restart tsig-httpd
```
```
exit
```

Mettez à jour les URL de module d’authentification de fournisseur d’identités vers HTTPS

Si vous avez configuré un fournisseur d’identités externe pour Tableau, vous devrez probablement mettre à jour les URL de retour dans le tableau de bord administratif du fournisseur d’identités.

Par exemple, si vous utilisez une application de pré-authentification Okta, vous devrez mettre à jour l’application de manière à utiliser le protocole HTTPS pour l’URL du destinataire et l’URL de destination.

Configurer l’équilibrage de charge AWS pour HTTPS

Si vous effectuez un déploiement avec l’équilibreur de charge AWS comme documenté dans ce guide, vous allez reconfigurer l’équilibreur de charge AWS de manière à envoyer le trafic HTTPS aux ordinateurs exécutant la passerelle indépendante :

Supprimez le groupe cible HTTP existant :
Dans Groupes cibles, sélectionnez le groupe cible HTTP qui a été configuré pour l’équilibreur de charge, cliquez sur Actions, puis sur Supprimer.
Créez un groupe HTTPS cible :
Groupes cibles > Créer un groupe cible
- Sélectionnez « Instances »
- Entrez un nom du groupe cible, par exemple TG-internal-HTTPS
- Sélectionnez votre VPC
- Protocole : HTTPS 443
- Sous Contrôles d’intégrité > Paramètres avancés des contrôles d’intégrité > Codes de réussite, ajoutez la liste des codes pour lire : 200,303.
- Cliquez sur Créer.
Sélectionnez le groupe cible que vous venez de créer, puis cliquez sur l’onglet Cibles.
- Cliquez sur Modifier.
- Sélectionnez l’instance EC2 qui exécute la passerelle indépendante Tableau Server que vous avez configurée, puis cliquez sur Ajouter aux instances enregistrées.
- Cliquez sur Enregistrer.
Une fois le groupe cible créé, vous devez activer la permanence :
- Ouvrez la page Groupe cible AWS (EC2> Équilibreurs de charge> Groupes cibles), sélectionnez l’instance d’équilibreur de charge cible que vous venez de configurer. Dans le menu Actions, sélectionnez Modifier les attributs.
- Sur la page Modifier les attributs, sélectionnez Persistance, spécifiez une durée 1 day, puis Enregistrer les modifications.
Sur l’équilibreur de charge, mettez à jour les règles d’écoute. Sélectionnez l’équilibreur de charge que vous avez configuré pour ce déploiement, puis cliquez sur l’onglet Écouteurs.
- Pour http:80, cliquez sur Afficher/modifier les règles. Dans la page Règles résultante, cliquez sur l’icône de modification (une fois en haut de la page, puis à nouveau près de la règle) pour modifier la règle. Supprimez la règle THEN existante et remplacez-la en cliquant sur Ajouter une action > Rediriger vers.... Dans la configuration THEN résultante, spécifiez les ports HTTPS et 443 et conservez les paramètres par défaut des autres options. Enregistrez le paramètre, puis cliquez sur Mettre à jour.
- Pour HTTPS:443, cliquez sur Afficher/modifier les règles. Dans la page Règles résultante, cliquez sur l’icône de modification (une fois en haut de la page, puis à nouveau près de la règle) pour modifier la règle. Supprimez la règle THEN existante et remplacez-la en cliquant sur Ajouter une action > Transférer vers.... Spécifiez le groupe cible au groupe HTTPS que vous venez de créer. Sous Persistance au niveau du groupe, activez la persistance et définissez la durée sur 1 jour. Enregistrez le paramètre, puis cliquez sur Mettre à jour.
Sur l’équilibreur de charge, mettez à jour le délai d’inactivité à 400 secondes. Sélectionnez l’équilibreur de charge que vous avez configuré pour ce déploiement, puis cliquez sur Actions > Modifier les attributs. Définissez le délai d’inactivité sur 400 secondes, puis cliquez sur Enregistrer.

Valider TLS

Pour valider la fonctionnalité TLS, connectez-vous à Tableau Server à l’aide d’une URL publique (par exemple, https://tableau.example.com) en utilisant le compte administrateur Tableau que vous avez créé au début de cette procédure.

Si TSM ne démarre pas ou si d’autres erreurs s’affichent, consultez Résoudre les problèmes de la passerelle indépendante Tableau Server.

Configurer la deuxième instance de la passerelle indépendante pour SSL

Lorsque vous avez correctement configuré la première instance de passerelle indépendante, déployez la deuxième instance.

Le processus de déploiement de la deuxième passerelle indépendante nécessite de suivre les étapes ci-après :

Sur la (première) instance configurée de la passerelle indépendante : copiez les fichiers suivants aux emplacements correspondants sur la deuxième instance de la passerelle indépendante :
- /etc/ssl/certs/tsig-ssl.crt
- /etc/ssl/private/tsig-ssl.key (Vous devrez créer le répertoire private sur la deuxième instance).
- /var/opt/tableau/tableau_tsig/config/httpd.conf.stub
- /etc/opt/tableau/tableau_tsig/environment.bash

Sur le nœud 1 du déploiement de Tableau Server : mettez à jour le fichier de connexion (tsig.json) avec l’information de connexion de la deuxième passerelle indépendante.

Un exemple de fichier de connexion (tsig.json) est illustré ici :

{
"independentGateways": [
 {
   "id": "ip-10-0-1-169.ec2.internal",
   "host": "ip-10-0-1-169.ec2.internal",
   "port": "21319",
   "protocol" : "https",
   "authsecret": "13660-27118-29070-25482-9518-22453"
 },
 {
   "id": "ip-10-0-2-230.ec2.internal",
   "host": "ip-10-0-2-230.ec2.internal",
   "port": "21319",
   "protocol" : "https",
   "authsecret": "9055-27834-16487-27455-30409-7292"
 }]
 }

Sur le nœud 1 du déploiement de Tableau Server : exécutez les commandes suivantes pour mettre à jour la configuration :
```
tsm stop
```
```
tsm topology external-services gateway update -c tsig.json
```
```
tsm start
```
Sur les deux instances de la passerelle indépendante : pendant le démarrage de Tableau Server, redémarrez le processus tsig-httpd sur les deux instances de la passerelle indépendante :
```
sudo su - tableau-tsig
```
```
systemctl --user restart tsig-httpd
```
```
exit
```
Dans AWS EC2>Groupes cibles : mettez à jour le groupe cible pour inclure l’instance EC2 exécutant la deuxième instance de la passerelle indépendante.
Sélectionnez le groupe cible que vous venez de créer, puis cliquez sur l’onglet Cibles.
- Cliquez sur Modifier.
- Sélectionnez l’instance EC2 de l’ordinateur personnel de la deuxième passerelle indépendante, puis cliquez sur Ajouter aux instances enregistrées. Cliquez sur Enregistrer.

Configurer SSL pour Postgres

Vous pouvez éventuellement configurer la connexion SSL (TLS) pour Postgres pour la connexion au référentiel externe sur Tableau Server.

Pour simplifier la gestion et le déploiement des certificats, et comme meilleure pratique de sécurité, nous vous recommandons d’utiliser des certificats générés par une autorité de certification (AC) tierce de confiance majeure. Vous pouvez aussi générer des certificats auto-signés ou utiliser des certificats d’une PKI pour TLS.

Cette procédure décrit comment utiliser OpenSSL pour générer un certificat auto-signé sur l’hôte Postgres sur une distribution Linux de type RHEL dans l’exemple d’architecture de référence AWS.

Après avoir généré et signé le certificat SSL, vous devez copier le certificat AC sur l’hôte Tableau.

Sur l’hôte exécutant Postgres :

Générez la clé de l’autorité de certification racine (AC) de signature :
```
openssl genrsa -out pgsql-rootCAKey.pem 2048
```

Créez le certificat CA racine :

openssl req -x509 -sha256 -new -nodes -key pgsql-rootCAKey.pem -days 3650 -out pgsql-rootCACert.pem

Vous serez invité à saisir des valeurs pour les champs du certificat. Par exemple :

Country Name (2 letter code) [XX]:US
State or Province Name (full name) []:Washington
Locality Name (eg, city) [Default City]:Seattle
Organization Name (eg, company) [Default Company Ltd]:Tableau
Organizational Unit Name (eg, section) []:Operations
Common Name (eg, Postgres server's hostname) []:ip-10-0-1-189.us-west-1.compute.internal
Email Address []:example@tableau.com

Créez le certificat et la clé associée (server.csr et server.key dans l’exemple ci-dessous) pour l’ordinateur Postgres. Le nom du sujet du certificat doit correspondre au nom DNS privé EC2 de l’hôte Postgres. Le nom du sujet est défini à l’aide de l’option -subj avec le format "/CN=<private DNS name>", par exemple :
```
openssl req -new -nodes -text -out server.csr -keyout server.key -subj "/CN=ip-10-0-1-189.us-west-1.compute.internal"
```
Signez le nouveau certificat avec le certificat CA que vous avez créé à l’étape 2. La commande suivante génère également le certificat au format crt :
```
openssl x509 -req -in server.csr -days 3650 -CA pgsql-rootCACert.pem -CAkey pgsql-rootCAKey.pem -CAcreateserial -out server.crt
```
Copiez les fichiers crt et key dans le chemin d’accès Postgres /var/lib/pgsql/13/data/ :
```
sudo cp server.crt /var/lib/pgsql/13/data/
```
```
sudo cp server.key /var/lib/pgsql/13/data/
```
Basculez vers l’utilisateur racine :
```
sudo su
```

Définissez les autorisations sur les fichiers cer et key. Exécutez les commandes suivantes :

cd /var/lib/pgsql/13/data
chown postgres.postgres server.crt
chown postgres.postgres server.key
chmod 0600 server.crt
chmod 0600 server.key

Mettez à jour le fichier de configuration pg_haba, /var/lib/pgsql/13/data/pg_hba.conf, pour spécifier la confiance md5 :
Modifiez les instructions de connexion existantes de
host all all 10.0.30.0/24 password, et
host all all 10.0.31.0/24 password
à
host all all 10.0.30.0/24 md5, et
host all all 10.0.31.0/24 md5.
Mettez à jour le fichier postgresql, /var/lib/pgsql/13/data/postgresql.conf, en ajoutant cette ligne :
```
ssl = on
```
Quittez le mode utilisateur racine :
```
exit
```
Redémarrez Postgres :
```
sudo systemctl restart postgresql-13
```

Facultatif : Activer la validation d’un certificat de confiance sur Tableau Server pour Postgres SSL

Si vous avez suivi les étapes d’installation décrites dans la Partie 4 - Installer et configurer Tableau Server, Tableau Server est alors configuré avec un SSL en option pour la connexion Postgres. Il faut donc comprendre que la configuration de SSL sur Postgres (comme décrit ci-dessus) aboutit à une connexion chiffrée.

Pour exiger la validation du certificat de confiance pour la connexion, vous devez exécuter la commande suivante sur Tableau Server de manière à reconfigurer la connexion avec l’hôte Postgres :

tsm topology external-services repository replace-host -f <filename>.json -c CACert.pem

Lorsque <filename>.json est le fichier de connexion décrit dans la section Configurer Postgres externe. Et CACert.pem est le fichier de certificat de l’autorité de certification pour le certificat SSL/TLS utilisé par Postgres.

Facultatif : vérifier la connectivité SSL

Pour vérifier la connectivité SSL, vous devez :

Installer le client Postgres sur le nœud1 Tableau Server.
Copier le certificat racine que vous avez créé dans la procédure précédente sur l’hôte Tableau.
Vous connecter au serveur Postgres à partir du nœud1.

Installer le client Postgres sur le nœud1

Cet exemple montre comment installer Postgres version 13.4. Installez la même version que celle que vous exécutez pour le référentiel externe.

Sur le nœud1, créez et modifiez le fichier pgdg.repo. dans le chemin d’accès /etc/yum.repos.d. Remplissez le fichier avec les données de configuration suivantes.
```
[pgdg13]
name=PostgreSQL 13 for RHEL/CentOS 7 - x86_64
baseurl=https://download.postgresql.org/pub/repos/yum/13/redhat/rhel-7-x86_64
enabled=1
gpgcheck=0
```

Installez le client Postgres :

sudo yum install postgresql13-13.4-1PGDG.rhel7.x86_64

Copier le certificat racine sur le nœud1

Copiez le certificat de l’autorité de certification (pgsql-rootCACert.pem) sur l’hôte Tableau :

scp ec2-user@<private-DNS-name-of-Postgress-host>:/home/ec2-user/pgsql-rootCACert.pem /home/ec2-user

Se connecter à l’hôte Postgres au moyen de SSL depuis le nœud1

Exécutez la commande suivante à partir du nœud1, en indiquant l’adresse IP de l’hôte du serveur Postgres et le certificat racine de l’autorité de certification :

psql "postgresql://postgres@<IP-address>:5432/postgres?sslmode=verify-ca&sslrootcert=pgsql-rootCACert.pem"

Par exemple :

 psql "postgresql://postgres@10.0.1.189:5432/postgres?sslmode=verify-ca&sslrootcert=pgsql-rootCACert.pem"

Postgres vous demandera le mot de passe. Une fois la connexion réussie, l’interpréteur de commandes renvoie :

psql (13.4)
SSL connection (protocol: TLSv1.2, cipher: ECDHE-RSA-AES256-GCM-SHA384, bits: 256, compression: off)
Type "help" for help.
postgres=#

Configurer SMTP et les notifications d’événement

Tableau Server envoie des notifications d’événement aux administrateurs et aux utilisateurs. Pour activer cette option, vous devez configurer Tableau Server de manière à ce qu’il envoie des courriels à votre serveur de messagerie. Vous devez également spécifier les types d’événement, les seuils et l’information d’abonnement que vous souhaitez envoyer.

Pour la configuration initiale de SMTP et des notifications, nous vous recommandons d’utiliser le modèle de fichier de configuration ci-dessous pour créer un fichier json. Vous pouvez également définir toute clé de configuration unique répertoriée ci-dessous en utilisant la syntaxe décrite dans tsm configuration set (Linux(Le lien s’ouvre dans une nouvelle fenêtre)).

Exécutez cette procédure sur le Nœud 1 dans votre déploiement Tableau Server :

Copiez le modèle json suivant dans un fichier. Personnalisez le fichier avec vos options de configuration SMTP et les notifications d’abonnement et d’alerte pour votre entreprise.

Pour voir une liste et une description de toutes les options SMTP, consultez la Référence de configuration de l’interface en ligne de commande SMTP (Linux(Le lien s’ouvre dans une nouvelle fenêtre)).
Pour afficher une liste et une description de toutes les options d’événement de notification, consultez la section d’interface en ligne de commande Configurer une notification d’événement serveur (Linux(Le lien s’ouvre dans une nouvelle fenêtre)).

{
"configKeys": {
	"svcmonitor.notification.smtp.server": "SMTP server host name",
	"svcmonitor.notification.smtp.send_account": "SMTP user name",
	"svcmonitor.notification.smtp.port": 443,
	"svcmonitor.notification.smtp.password": "SMTP user account password",
	"svcmonitor.notification.smtp.ssl_enabled": true,
	"svcmonitor.notification.smtp.from_address": "From email address",
	"svcmonitor.notification.smtp.target_addresses": "To email address1,address2",
	"svcmonitor.notification.smtp.canonical_url": "Tableau Server URL",
	"backgrounder.notifications_enabled": true,
	"subscriptions.enabled": true,
	"subscriptions.attachments_enabled": true,
	"subscriptions.max_attachment_size_megabytes": 150,
	"svcmonitor.notification.smtp.enabled": true,
	"features.DesktopReporting": true,
	"storage.monitoring.email_enabled": true,
	"storage.monitoring.warning_percent": 20,
	"storage.monitoring.critical_percent": 15,
	"storage.monitoring.email_interval_min": 25,
	"storage.monitoring.record_history_enabled": true
	}
}

Exécutez la commande tsm settings import -f file.json pour transmettre le fichier json à Tableau Services Manager.
Exécutez la commande tsm pending-changes apply pour appliquer les modifications.
Exécutez la commande tsm email test-smtp-connection pour afficher et vérifier la configuration de la connexion.

Installer le pilote PostgreSQL

Pour afficher les vues administratives sur Tableau Server, le pilote PostgreSQL doit être installé sur le nœud1 du déploiement Tableau Server.

Accédez à la page de téléchargement des pilotes Tableau(Le lien s’ouvre dans une nouvelle fenêtre) et copiez l’URL du fichier jar PostgreSQL.
Exécutez la procédure suivante sur chaque nœud du déploiement Tableau :

Créez le chemin de fichier suivant :
sudo mkdir -p /opt/tableau/tableau_driver/jdbc
Depuis le nouveau chemin d’accès, téléchargez la version la plus récente du fichier jar PostgreSQL. Par exemple :
sudo wget https://downloads.tableau.com/drivers/linux/postgresql/postgresql-42.2.22.jar

Sur le nœud initial, redémarrez Tableau Server :
tsm restart

Configurer une stratégie de mot de passe fort

Si vous ne déployez pas Tableau Server avec une solution d’authentification de fournisseur d’identités, nous vous recommandons de renforcer la sécurité de la stratégie de mot de passe par défaut de Tableau.

Si vous déployez Tableau Server avec un fournisseur d’identités, vous devez gérer les stratégies de mot de passe avec le fournisseur d’identités.

La procédure suivante inclut la configuration json pour définir la stratégie de mot de passe sur Tableau Server. Pour plus d’informations sur les options ci-dessous, consultez Authentification locale (Linux(Le lien s’ouvre dans une nouvelle fenêtre)).

Copiez le modèle json suivant dans un fichier. Renseignez les valeurs de clé avec votre configuration de politique de mot de passe.

{
 "configKeys": {
	"wgserver.localauth.policies.mustcontainletters.enabled": true,
	"wgserver.localauth.policies.mustcontainuppercase.enabled": true,
	"wgserver.localauth.policies.mustcontainnumbers.enabled": true,
	"wgserver.localauth.policies.mustcontainsymbols.enabled": true,
	"wgserver.localauth.policies.minimumpasswordlength.enabled": true,
	"wgserver.localauth.policies.minimumpasswordlength.value": 12,
	"wgserver.localauth.policies.maximumpasswordlength.enabled": false,
	"wgserver.localauth.policies.maximumpasswordlength.value": 255,
	"wgserver.localauth.passwordexpiration.enabled": true,
	"wgserver.localauth.passwordexpiration.days": 90,
	"wgserver.localauth.ratelimiting.maxbackoff.minutes": 60,
	"wgserver.localauth.ratelimiting.maxattempts.enabled": false,
	"wgserver.localauth.ratelimiting.maxattempts.value": 5,
	"features.PasswordReset": true	
 }
}

Exécutez tsm settings import -f file.json pour transmettre le fichier json à Tableau Services Manager et configurer Tableau Server.
Exécutez la commande tsm pending-changes apply pour appliquer les modifications.

Retour en haut

Merci de vos commentaires!

Votre commentaire s été envoyé avec succès. Merci!

Guide de déploiement de Tableau Server en entreprise