Partie 6 - Configuration après l’installation

Configurer SSL/TLS depuis l’équilibreur de charge vers Tableau Server

Certaines entreprises exigent un canal de cryptage de bout en bout du client au service principal. L’architecture de référence par défaut telle que décrite jusqu’à présent spécifie SSL du client à l’équilibreur de charge s’exécutant dans le niveau Web de votre entreprise.

Cette section décrit comment configurer SSL/TLS pour Tableau Server et la passerelle indépendante dans l’exemple d’architecture de référence AWS. Pour un exemple de configuration décrivant comment configurer SSL/TLS sur Apache dans l’architecture de référence AWS, consultez Exemple : Configurer SSL/TLS dans l’architecture de référence AWS.

À l’heure actuelle, TLS n’est pas pris en charge sur les processus principaux de Tableau Server qui s’exécutent dans la plage 8000-9000. Pour activer TLS, vous devez configurer la passerelle indépendante avec une connexion par relais à Tableau Server.

Cette procédure décrit comment activer et configurer TLS sur la passerelle indépendante vers Tableau Server et Tableau Server vers la passerelle indépendante. La procédure chiffre le trafic de relais sur HTTPS/443 et le trafic de maintenance sur HTTPS/21319.

Les procédures Linux décrites tout au long de cet exemple montrent des commandes pour les distributions de type RHEL. Plus précisément, les commandes présentées ici ont été développées avec la distribution Amazon Linux 2. Si vous exécutez la distribution Ubuntu, modifiez les commandes en conséquence.

Les conseils ici sont proposés à titre prescriptif pour l’exemple d’architecture de référence AWS spécifique tel que présenté dans ce guide. Par conséquent, les configurations facultatives ne sont pas incluses. Pour obtenir une documentation de référence complète, consultez Configurer TLS sur la passerelle indépendante (Linux(Le lien s’ouvre dans une nouvelle fenêtre)).

Avant de configurer TLS

Effectuez les configurations TLS en dehors des heures ouvrables. La configuration nécessite au moins un redémarrage de Tableau Server. Si vous exécutez un déploiement complet d’architecture de référence à quatre nœuds, le redémarrage peut prendre un certain temps.

Vérifiez que les clients peuvent se connecter à Tableau Server via HTTP. La configuration de TLS avec une passerelle indépendante est un processus en plusieurs étapes et peut nécessiter un dépannage. Par conséquent, nous vous recommandons de commencer par un déploiement Tableau Server entièrement opérationnel avant de configurer TLS.
Collectez les certificats TLS/SSL, les clés et les ressources associés. Vous aurez besoin de certificats SSL pour les passerelles indépendantes et pour Tableau Server. Pour simplifier la gestion et le déploiement des certificats, et comme meilleure pratique de sécurité, nous vous recommandons d’utiliser des certificats générés par une autorité de certification (CA) tierce majeure de confiance. Vous pouvez sinon générer des certificats auto-signés ou utiliser des certificats d’une PKI pour TLS.
L’exemple de configuration de cette rubrique utilise les noms de ressources suivants à titre d’illustration :
- tsig-ssl.crt : le certificat TLS/SSL pour la passerelle indépendante.
- tsig-ssl.key : la clé privée pour tsig-ssl.crt sur la passerelle indépendante.
- ts-ssl.crt : le certificat TLS/SSL pour Tableau Server.
- ts-ssl.key: la clé privée pour tsig-ssl.crt sur Tableau Server.
- tableau-server-CA.pem spécifie le certificat racine pour l’autorité de certification qui génère le certificat présenté par les ordinateurs Tableau Server. Ce certificat n’est généralement pas requis si vous utilisez des certificats provenant de tiers de confiance majeurs.
- rootTSIG-CACert.pem : le certificat racine de l’autorité de certification qui génère les certificats pour les ordinateurs de la passerelle indépendante. Ce certificat n’est généralement pas requis si vous utilisez des certificats provenant de tiers de confiance majeurs.
- Il existe d’autres certificats et ressources de fichiers de clé requis pour SAML qui sont détaillés dans la Partie 5 de ce guide.
- Si votre implémentation nécessite l’utilisation d’un fichier de chaîne de certificats, consultez l’article de la Base de connaissances Configurer TLS sur une passerelle indépendante en cas d’utilisation d’un certificat avec chaîne de certificats(Le lien s’ouvre dans une nouvelle fenêtre).
Vérifiez que vous avez accès à l’IdP. Si vous utilisez un IdP pour l’authentification, vous devrez probablement apporter des modifications aux URL de destination et de destination au niveau de l’IdP après avoir configuré SSL/TLS.

Configurer les ordinateurs de la passerelle indépendante pour TLS

La configuration de TLS peut être un processus sujet aux erreurs. Étant donné que le dépannage sur deux instances de passerelle indépendante peut prendre du temps, nous vous recommandons d’activer et de configurer TLS sur le déploiement EDG avec une seule passerelle indépendante. Une fois que vous avez validé le fonctionnement de TLS sur l’ensemble du déploiement, configurez le deuxième ordinateur de passerelle indépendante.

Étape 1 : Distribuer les certificats et les clés à l’ordinateur de la passerelle indépendante

Vous pouvez distribuer les ressources à n’importe quel répertoire arbitraire tant que l’utilisateur tsig-httpd dispose d’un accès en lecture aux fichiers. Les chemins d’accès à ces fichiers sont référencés dans d’autres procédures. Nous utiliserons les exemples de chemins sous/etc/ssl, comme illustré ci-dessous, tout au long de la rubrique.

Créer un répertoire pour la clé privée :
```
sudo mkdir -p /etc/ssl/private
```
Copiez les fichiers de certificat et de clé dans les chemins d’accès /etc/ssl. Par exemple :
```
sudo cp tsig-ssl.crt /etc/ssl/certs/
```
```
sudo cp tsig-ssl.key /etc/ssl/private/
```
(Facultatif) Si vous utilisez un certificat auto-signé ou PKI pour SSL/TLS sur Tableau Server, vous devez également copier le fichier de certificat racine CA sur l’ordinateur de la passerelle indépendante. Par exemple :
```
sudo cp tableau-server-CA.pem /etc/ssl/certs/
```

Étape 2 : Mettre à jour les variables d’environnement pour TLS

Vous devez mettre à jour les variables d’environnement de port et de protocole pour la configuration de la passerelle indépendante.

Modifiez ces valeurs en mettant à jour le fichier /etc/opt/tableau/tableau_tsig/environment.bash, comme suit :

TSIG_HK_PROTOCOL="https"
TSIG_PORT="443"
TSIG_PROTOCOL="https"

Étape 3 : Mettre à jour le fichier de configuration stub pour le protocole HK

Modifiez manuellement le fichier de configuration stub (/var/opt/tableau/tableau_tsig/config/httpd.conf.stub ) pour définir les directives Apache httpd liées à TLS pour le protocole de maintenance (HK).

Le fichier de configuration de stub inclut un bloc de directives liées à TLS qui sont commentées avec un marqueur #TLS#. Supprimez les marqueurs des directives comme indiqué dans l’exemple ci-dessous. Notez que l’exemple montre l’utilisation du certificat racine CA pour le certificat SSL utilisé sur Tableau Server avec l’option SSLCACertificateFile.

#TLS# SSLPassPhraseDialog exec:/path/to/file
<VirtualHost *:${TSIG_HK_PORT}>
SSLEngine on
#TLS# SSLHonorCipherOrder on
#TLS# SSLCompression off
SSLCertificateFile /etc/ssl/certs/tsig-ssl.crt
SSLCertificateKeyFile /etc/ssl/private/tsig-ssl.key
SSLCACertificateFile /etc/ssl/certs/tableau-server-CA.pem
#TLS# SSLCARevocationFile /path/to/file
</VirtualHost>

Ces modifications seront perdues si vous réinstallez la passerelle indépendante. Nous vous recommandons d’effectuer une copie de sauvegarde.

Étape 4 : Copier le fichier stub et redémarrer le service

Copiez le fichier que vous avez mis à jour à la dernière étape pour mettre à jour httpd.conf avec les modifications :
```
cp /var/opt/tableau/tableau_tsig/config/httpd.conf.stub /var/opt/tableau/tableau_tsig/config/httpd.conf
```

Redémarrez le service de passerelle indépendante :

sudo su - tableau-tsig
systemctl --user restart tsig-httpd
exit

Après le redémarrage, la passerelle indépendante sera opérationnelle une fois que vous aurez exécuté la prochaine série d’étapes sur Tableau Server. Une fois que vous avez terminé les étapes sur Tableau Server, la passerelle indépendante récupère les modifications et se met en ligne.

Configurer le Nœud 1 de Tableau Server pour TLS

Exécutez ces étapes sur le Nœud 1 du déploiement Tableau Server.

Étape 1 : Copier les certificats et les clés et arrêter TSM

Vérifiez que les certificats et les clés « SSL externe » de Tableau Server sont copiés sur le Nœud 1.
Pour réduire les temps d’arrêt, nous vous recommandons d’arrêter TSM, d’exécuter les étapes suivantes, puis de démarrer TSM une fois les modifications appliquées :
tsm stop

Étape 2 : Définir les ressources de certificat et activer la configuration de la passerelle indépendante

Spécifiez l’emplacement des fichiers de certificat et de clé pour la passerelle indépendante. Ces chemins d’accès font référence à l’emplacement sur les ordinateurs de la passerelle indépendante. Remarque : cet exemple suppose que la même paire de certificats et de clés est utilisée pour protéger le trafic HTTPS et de maintenance :
```
tsm configuration set -k gateway.tsig.ssl.cert.file_name -v /etc/ssl/certs/tsig-ssl.crt --force-keys 
tsm configuration set -k gateway.tsig.ssl.key.file_name -v /etc/ssl/private/tsig-ssl.key --force-keys	
```

Activez TLS pour les protocoles HTTPS et HK pour la passerelle indépendante :

tsm configuration set -k gateway.tsig.ssl.enabled -v true --force-keys
tsm configuration set -k gateway.tsig.hk.ssl.enabled -v true --force-keys

(Facultatif) Si vous utilisez un certificat auto-signé ou PKI pour SSL/TLS sur la passerelle indépendante, vous devez télécharger le fichier de certificat racine CA. Le fichier de certificat racine de l’autorité de certification est le certificat racine qui a été utilisé pour générer les certificats pour les ordinateurs de la passerelle indépendante. Par exemple,
```
tsm security custom-cert add -c rootTSIG-CACert.pem
```
(Facultatif) Si vous utilisez un certificat auto-signé ou PKI pour SSL/TLS sur Tableau Server, vous devez également copier le fichier de certificat racine CA sur le répertoire /etc/ssl/certs de la passerelle indépendante. Le fichier de certificat racine CA est le certificat racine qui a été utilisé pour générer les certificats pour les ordinateurs Tableau Server. Après avoir copié le certificat sur la passerelle indépendante, vous devez spécifier l’emplacement du certificat sur le Nœud 1 avec la commande tsm suivante. Par exemple,
```
tsm configuration set -k gateway.tsig.ssl.proxy.gateway_relay_cluster.cacertificatefile -v /etc/ssl/certs/tableau-server-CA.pem --force-keys
```
(Facultatif : à des fins de test uniquement) Si vous utilisez le partage de certificats auto-signés ou PKI entre ordinateurs et que, par conséquent, les noms de sujet sur les certificats ne correspondent pas aux noms d’ordinateur, vous devez désactiver la vérification des certificats.
```
tsm configuration set -k gateway.tsig.ssl.proxy.verify -v optional_no_ca --force-keys
```

Étape 3 : Activer « SSL externe » pour Tableau Server et appliquer les modifications

Activez et configurez « SSL externe » sur Tableau Server :

tsm security external-ssl enable --cert-file ts-ssl.crt --key-file ts-ssl.key

Appliquez les modifications.
```
tsm pending-changes apply
```

Étape 4 : Mettre à jour le fichier JSON de configuration de la passerelle et démarrer tsm

Mettez à jour le fichier de configuration de la passerelle indépendante (par exemple, tsig.json) côté Tableau Server pour spécifier le protocole https pour les objets de passerelle indépendante :
```
"protocol" : "https",
```
Supprimez (ou commentez) les informations de connexion pour la deuxième instance de passerelle indépendante. Assurez-vous de vérifier le fichier JSON dans un éditeur externe avant de l’enregistrer.
Après avoir configuré et validé TLS pour l’instance unique de passerelle indépendante, vous allez mettre à jour ce fichier JSON avec les informations de connexion pour la deuxième instance de passerelle indépendante.
Exécutez la commande suivante pour mettre à jour la configuration de la passerelle indépendante :
```
tsm topology external-services gateway update -c tsig.json
```
Démarrez TSM.
```
tsm start
```
Pendant le démarrage de TSM, connectez-vous à l’instance de passerelle indépendante et redémarrez le service tsig-httpd :
```
sudo su - tableau-tsig
```
```
systemctl --user restart tsig-httpd
```
```
exit
```

Mettre à jour les URL du module d’authentification de l’IdP sur HTTPS

Si vous avez configuré un fournisseur d’identité externe pour Tableau, vous devrez probablement mettre à jour les URL de retour dans le tableau de bord administratif de l’IdP.

Par exemple, si vous utilisez une application de pré-authentification Okta, vous devrez mettre à jour l’application de l’IdP Mellon de manière à utiliser le protocole HTTPS pour l’URL du destinataire et l’URL de destination.

Configurer l’équilibreur de charge AWS pour HTTPS

Si vous effectuez un déploiement avec l’équilibreur de charge AWS comme documenté dans ce guide, vous allez reconfigurer l’équilibreur de charge AWS de manière à envoyer le trafic HTTPS vers les ordinateurs exécutant la passerelle indépendante :

Supprimer le groupe cible HTTP existant :
Dans Groupes cibles, sélectionnez le groupe cible HTTP qui a été configuré pour l’équilibreur de charge, cliquez sur Actions, puis sur Supprimer.
Créez un groupe HTTPS cible :
Groupes cibles > Créer un groupe cible
- Sélectionnez « Instances »
- Entrez un nom de groupe cible, par exemple TG-internal-HTTPS
- Sélectionnez votre VPC
- Protocole : HTTPS 443
- Sous Contrôles d’intégrité > Paramètres avancés des contrôles d’intégrité > Codes de réussite, ajoutez la liste des codes pour lire : 200,303.
- Cliquez sur Créer.
Sélectionnez le groupe cible que vous venez de créer, puis cliquez sur l’onglet Cibles.
- Cliquez sur Modifier.
- Sélectionnez les instances EC2 qui exécutent la passerelle indépendante Tableau Server, puis cliquez sur Ajouter aux instances enregistrées.
- Cliquez sur Enregistrer.
Une fois le groupe cible créé, vous devez activer la permanence :
- Ouvrez la page Groupe cible AWS (EC2> Équilibreurs de charge> Groupes cibles), sélectionnez l’instance d’équilibreur de charge cible que vous venez de configurer. Dans le menu Actions, sélectionnez Modifier les attributs.
- Sur la page Modifier les attributs, sélectionnez Persistance, spécifiez une durée 1 day, puis Enregistrer les modifications.
Sur l’équilibreur de charge, mettez à jour les règles d’écoute. Sélectionnez l’équilibreur de charge que vous avez configuré pour ce déploiement, puis cliquez sur l’onglet Écouteurs.
- Pour HTTP:80, cliquez sur Afficher/modifier les règles. Dans la page Règles résultante, cliquez sur l’icône de modification (une fois en haut de la page, puis à nouveau près de la règle) pour modifier la règle. Supprimez la règle THEN existante et remplacez-la en cliquant sur Ajouter une action > Rediriger vers.... Dans la configuration THEN résultante, spécifiez les ports HTTPS et 443 et conservez les paramètres par défaut des autres options. Enregistrez le paramètre puis cliquez sur Mettre à jour.
- Pour HTTPS:443, cliquez sur Afficher/modifier les règles. Dans la page Règles résultante, cliquez sur l’icône de modification (une fois en haut de la page, puis à nouveau près de la règle) pour modifier la règle. Supprimez la règle THEN existante et remplacez-la en cliquant sur Ajouter une action > Transférer vers.... Désignez sur le groupe HTTPS que vous venez de créer comme groupe cible. Sous Persistance au niveau du groupe, activez la persistance et définissez la durée sur 1 jour. Enregistrez le paramètre puis cliquez sur Mettre à jour.
Sur l’équilibreur de charge, mettez à jour le délai d’inactivité sur 400 secondes. Sélectionnez l’équilibreur de charge que vous avez configuré pour ce déploiement, puis cliquez sur l’onglet Actions > Modifier les attributs. Définissez le Délai d’inactivité sur 400 secondes, puis cliquez sur Enregistrer.

Valider TLS

Pour valider la fonctionnalité TLS, connectez-vous à Tableau Server avec l’URL publique (par exemple, https://tableau.example.com) en utilisant le compte administrateur Tableau que vous avez créé au début de cette procédure.

Si TSM ne démarre pas ou si vous obtenez d’autres erreurs, consultez Résolution des problèmes Tableau Server Independent Gateway.

Configurer la deuxième instance de passerelle indépendante pour SSL

Une fois que vous avez correctement configuré la première instance de passerelle indépendante, déployez la deuxième instance.

Le processus de déploiement de la deuxième passerelle indépendante nécessite les étapes suivantes :

Sur la (première) instance configurée de la passerelle indépendante : copiez les fichiers suivants aux emplacements correspondants sur la deuxième instance de la passerelle indépendante :
- /etc/ssl/certs/tsig-ssl.crt
- /etc/ssl/private/tsig-ssl.key (Vous devrez créer le répertoire private sur la seconde instance).
- /var/opt/tableau/tableau_tsig/config/httpd.conf.stub
- /etc/opt/tableau/tableau_tsig/environment.bash

Sur le Nœud 1 du déploiement de Tableau Server : mettez à jour le fichier de connexion (tsig.json ) avec les informations de connexion de la deuxième passerelle indépendante.

Voici un exemple de fichier de connexion (tsig.json ) :

{
"independentGateways": [
 {
   "id": "ip-10-0-1-169.ec2.internal",
   "host": "ip-10-0-1-169.ec2.internal",
   "port": "21319",
   "protocol" : "https",
   "authsecret": "13660-27118-29070-25482-9518-22453"
 },
 {
   "id": "ip-10-0-2-230.ec2.internal",
   "host": "ip-10-0-2-230.ec2.internal",
   "port": "21319",
   "protocol" : "https",
   "authsecret": "9055-27834-16487-27455-30409-7292"
 }]
 }

Sur le Nœud 1 du déploiement de Tableau Server : exécutez les commandes suivantes pour mettre à jour la configuration :
```
tsm stop
```
```
tsm topology external-services gateway update -c tsig.json
```
```
tsm start
```
Sur les deux instances de passerelle indépendante : pendant le démarrage de Tableau Server, redémarrez le processus tsig-httpd sur les deux instances de passerelle indépendante :
```
sudo su - tableau-tsig
```
```
systemctl --user restart tsig-httpd
```
```
exit
```
Dans AWS EC2>Groupes cibles : mettez à jour le groupe cible de manière à inclure l’instance EC2 exécutant la deuxième instance de passerelle indépendante.
Sélectionnez le groupe cible que vous venez de créer, puis cliquez sur l’onglet Cibles :
- Cliquez sur Modifier.
- Sélectionnez l’instance EC2 du deuxième ordinateur de la passerelle indépendante, puis cliquez sur Ajouter à enregistré. Cliquez sur Enregistrer.

Configurer SSL pour Postgres

Vous pouvez éventuellement configurer SSL (TLS) pour la connexion Postgres au référentiel externe sur Tableau Server.

Pour simplifier la gestion et le déploiement des certificats, et comme meilleure pratique de sécurité, nous vous recommandons d’utiliser des certificats générés par une autorité de certification (CA) majeure tierce de confiance. Vous pouvez sinon générer des certificats auto-signés ou utiliser des certificats d’une PKI pour TLS.

Cette procédure décrit comment utiliser OpenSSL pour générer un certificat auto-signé sur l’hôte Postgres dans une distribution Linux de type RHEL pour l’exemple d’architecture AWS de référence.

Après avoir généré et signé le certificat SSL, vous devez copier le certificat CA sur l’hôte Tableau.

Sur l’hôte exécutant Postgres :

Générez la clé de l’autorité de certification racine (CA) de signature :
```
openssl genrsa -out pgsql-rootCAKey.pem 2048
```

Créez le certificat CA racine :

openssl req -x509 -sha256 -new -nodes -key pgsql-rootCAKey.pem -days 3650 -out pgsql-rootCACert.pem

Vous serez invité à saisir des valeurs pour les champs du certificat. Par exemple :

Country Name (2 letter code) [XX]:US
State or Province Name (full name) []:Washington
Locality Name (eg, city) [Default City]:Seattle
Organization Name (eg, company) [Default Company Ltd]:Tableau
Organizational Unit Name (eg, section) []:Operations
Common Name (eg, Postgres server's hostname) []:ip-10-0-1-189.us-west-1.compute.internal
Email Address []:example@tableau.com

Créez le certificat et la clé associée (server.csr et server.key dans l’exemple ci-dessous) pour l’ordinateur Postgres. Le nom du sujet du certificat doit correspondre au nom DNS privé EC2 de l’hôte Postgres. Le nom du sujet est défini à l’aide de l’option -subj avec le format "/CN=<private DNS name>", par exemple :
```
openssl req -new -nodes -text -out server.csr -keyout server.key -subj "/CN=ip-10-0-1-189.us-west-1.compute.internal"
```
Signez le nouveau certificat avec le certificat CA que vous avez créé à l’étape 2. La commande suivante génère également le certificat au format crt :
```
openssl x509 -req -in server.csr -days 3650 -CA pgsql-rootCACert.pem -CAkey pgsql-rootCAKey.pem -CAcreateserial -out server.crt
```
Copiez les fichiers crt et key dans le chemin d’accès Postgres /var/lib/pgsql/13/data/ :
```
sudo cp server.crt /var/lib/pgsql/13/data/
```
```
sudo cp server.key /var/lib/pgsql/13/data/
```
Basculez vers l’utilisateur root :
```
sudo su
```

Définissez les autorisations sur les fichiers cer et key. Exécutez les commandes suivantes :

cd /var/lib/pgsql/13/data
chown postgres.postgres server.crt
chown postgres.postgres server.key
chmod 0600 server.crt
chmod 0600 server.key

Mettez à jour le fichier de configuration pg_haba, /var/lib/pgsql/13/data/pg_hba.conf, pour spécifier la confiance md5 :
Modifiez les instructions de connexion existantes de
host all all 10.0.30.0/24 password et
host all all 10.0.31.0/24 password
sur
host all all 10.0.30.0/24 md5 et
host all all 10.0.31.0/24 md5.
Mettez à jour le fichier postgresql, /var/lib/pgsql/13/data/postgresql.conf, en ajoutant cette ligne :
```
ssl = on
```
Quittez le mode utilisateur root :
```
exit
```
Redémarrez Postgres :
```
sudo systemctl restart postgresql-13
```

Facultatif : activer la validation de la confiance des certificats sur Tableau Server pour SSL Postgres

Si vous avez suivi la procédure d’installation dans Partie 4 - Installer et configurer Tableau Server, Tableau Server est configuré avec SSL facultatif pour la connexion Postgres. Cela signifie que la configuration de SSL sur Postgres (comme décrit ci-dessus) entraînera une connexion cryptée.

Si vous souhaitez exiger une validation de certificat de confiance pour la connexion, vous devez exécuter la commande suivante sur Tableau Server pour reconfigurer la connexion hôte Postgres :

tsm topology external-services repository replace-host -f <filename>.json -c CACert.pem

Dans ce cas, <filename>.json est le fichier de connexion décrit dans Configurer Postgres externe, et CACert.pem est le fichier de certificat CA pour le certificat SSL/TLS utilisé par Postgres.

Facultatif : Vérifier la connectivité SSL

Pour vérifier la connectivité SSL, vous devez :

Installer le client Postgres sur le Nœud 1 de Tableau Server.
Copier le certificat racine que vous avez créé dans la procédure précédente sur l’hôte Tableau.
Vous connecter au serveur Postgres à partir du Nœud 1.

Installer le client Postgres sur le Nœud 1

Cet exemple montre comment installer la version Postgres 13.4. Installez la même version que celle exécutée pour le référentiel externe.

Sur le Nœud 1, créez et modifiez le fichier pgdg.repo dans le chemin d’accès /etc/yum.repos.d. Remplissez le fichier avec les informations de configuration suivantes.
```
[pgdg13]
name=PostgreSQL 13 for RHEL/CentOS 7 - x86_64
baseurl=https://download.postgresql.org/pub/repos/yum/13/redhat/rhel-7-x86_64
enabled=1
gpgcheck=0
```

Installez le client Postgres :

sudo yum install postgresql13-13.4-1PGDG.rhel7.x86_64

Copiez le certificat racine sur le Nœud 1

Copiez le certificat CA (pgsql-rootCACert.pem) sur l’hôte Tableau :

scp ec2-user@<private-DNS-name-of-Postgress-host>:/home/ec2-user/pgsql-rootCACert.pem /home/ec2-user

Connectez-vous à l’hôte Postgres sur SSL depuis le Nœud 1

Exécutez la commande suivante à partir du Nœud 1 en spécifiant l’adresse IP de l’hôte du serveur Postgres et le certificat CA racine :

psql "postgresql://postgres@<IP-address>:5432/postgres?sslmode=verify-ca&sslrootcert=pgsql-rootCACert.pem"

Par exemple :

 psql "postgresql://postgres@10.0.1.189:5432/postgres?sslmode=verify-ca&sslrootcert=pgsql-rootCACert.pem"

Postgres vous demandera le mot de passe. Une fois la connexion réussie, l’interpréteur de commandes renvoie :

psql (13.4)
SSL connection (protocol: TLSv1.2, cipher: ECDHE-RSA-AES256-GCM-SHA384, bits: 256, compression: off)
Type "help" for help.
postgres=#

Configurer SMTP et les notifications d’événement

Tableau Server envoie des notifications d’événement aux administrateurs et aux utilisateurs. Pour activer cette option, vous devez configurer Tableau Server de manière à ce qu’il envoie des e-mails à votre serveur de messagerie. Vous devez également spécifier les types d’événement, les seuils et les informations d’abonnement que vous souhaitez envoyer.

Pour la configuration initiale de SMTP et des notifications, nous vous recommandons d’utiliser le modèle de fichier de configuration ci-dessous pour créer un fichier json. Vous pouvez également définir toute clé de configuration unique répertoriée ci-dessous en utilisant la syntaxe décrite dans tsm configuration set (Linux(Le lien s’ouvre dans une nouvelle fenêtre)).

Exécutez cette procédure sur le Nœud 1 dans votre déploiement Tableau Server :

Copiez le modèle json suivant dans un fichier. Personnalisez le fichier avec vos options de configuration SMTP et les notifications d’abonnement et d’alerte pour votre entreprise.

Pour voir une liste et une description de toutes les options SMTP, consultez la Référence de configuration de l’interface en ligne de commande SMTP (Linux(Le lien s’ouvre dans une nouvelle fenêtre)).
Pour afficher une liste et une description de toutes les options d’événement de notification, consultez la section d’interface en ligne de commande Configurer une notification d’événement serveur (Linux(Le lien s’ouvre dans une nouvelle fenêtre)).

{
"configKeys": {
	"svcmonitor.notification.smtp.server": "SMTP server host name",
	"svcmonitor.notification.smtp.send_account": "SMTP user name",
	"svcmonitor.notification.smtp.port": 443,
	"svcmonitor.notification.smtp.password": "SMTP user account password",
	"svcmonitor.notification.smtp.ssl_enabled": true,
	"svcmonitor.notification.smtp.from_address": "From email address",
	"svcmonitor.notification.smtp.target_addresses": "To email address1,address2",
	"svcmonitor.notification.smtp.canonical_url": "Tableau Server URL",
	"backgrounder.notifications_enabled": true,
	"subscriptions.enabled": true,
	"subscriptions.attachments_enabled": true,
	"subscriptions.max_attachment_size_megabytes": 150,
	"svcmonitor.notification.smtp.enabled": true,
	"features.DesktopReporting": true,
	"storage.monitoring.email_enabled": true,
	"storage.monitoring.warning_percent": 20,
	"storage.monitoring.critical_percent": 15,
	"storage.monitoring.email_interval_min": 25,
	"storage.monitoring.record_history_enabled": true
	}
}

Exécutez la commande tsm settings import -f file.json pour transmettre le fichier json à Tableau Services Manager.
Exécutez la commande tsm pending-changes apply pour appliquer les modifications.
Exécutez la commande tsm email test-smtp-connection pour afficher et vérifier la configuration de la connexion.

Installer le pilote PostgreSQL

Pour afficher les vues administratives sur Tableau Server, le pilote PostgreSQL doit être installé sur le Nœud 1 du déploiement Tableau Server.

Accédez à la page de téléchargement des pilotes Tableau(Le lien s’ouvre dans une nouvelle fenêtre) et copiez l’URL du fichier jar PostgreSQL.
Exécutez la procédure suivante sur chaque nœud du déploiement Tableau :

Créez le chemin de fichier suivant :
sudo mkdir -p /opt/tableau/tableau_driver/jdbc
Depuis le nouveau chemin d’accès, téléchargez la version la plus récente du fichier jar PostgreSQL. Par exemple :
sudo wget https://downloads.tableau.com/drivers/linux/postgresql/postgresql-42.2.22.jar

Sur le nœud initial, redémarrez Tableau Server :
tsm restart

Configurer la politique de mot de passe fort

Si vous ne déployez pas Tableau Server avec une solution d’authentification d’IdP, nous vous recommandons de renforcer la sécurité de la politique de mot de passe Tableau par défaut.

Si vous déployez Tableau Server avec un IdP, vous devez gérer les politiques de mot de passe avec l’IdP.

La procédure suivante inclut la configuration json pour définir la politique de mot de passe sur Tableau Server. Pour plus d’informations sur les options ci-dessous, consultez Authentification locale (Linux(Le lien s’ouvre dans une nouvelle fenêtre)).

Copiez le modèle json suivant dans un fichier. Renseignez les valeurs de clé avec votre configuration de politique de mot de passe.

{
 "configKeys": {
	"wgserver.localauth.policies.mustcontainletters.enabled": true,
	"wgserver.localauth.policies.mustcontainuppercase.enabled": true,
	"wgserver.localauth.policies.mustcontainnumbers.enabled": true,
	"wgserver.localauth.policies.mustcontainsymbols.enabled": true,
	"wgserver.localauth.policies.minimumpasswordlength.enabled": true,
	"wgserver.localauth.policies.minimumpasswordlength.value": 12,
	"wgserver.localauth.policies.maximumpasswordlength.enabled": false,
	"wgserver.localauth.policies.maximumpasswordlength.value": 255,
	"wgserver.localauth.passwordexpiration.enabled": true,
	"wgserver.localauth.passwordexpiration.days": 90,
	"wgserver.localauth.ratelimiting.maxbackoff.minutes": 60,
	"wgserver.localauth.ratelimiting.maxattempts.enabled": false,
	"wgserver.localauth.ratelimiting.maxattempts.value": 5,
	"features.PasswordReset": true	
 }
}

Exécutez tsm settings import -f file.json pour transmettre le fichier json avec les valeurs appropriées à Tableau Services Manager et configurer Tableau Server.
Exécutez la commande tsm pending-changes apply pour appliquer les modifications.

Retour en haut

Merci de vos commentaires !

Avis correctement envoyé. Merci

Guide de déploiement de Tableau Server en entreprise