Parte 6 - Configurazione post-installazione

Configurare SSL/TLS dal servizio di bilanciamento del carico a Tableau Server

Alcune organizzazioni richiedono un canale di crittografia end-to-end dal client al servizio back-end. L’architettura di riferimento predefinita, come descritto fino a questo punto, specifica SSL dal client al servizio di bilanciamento del carico in esecuzione nel livello Web dell’organizzazione.

In questa sezione viene descritto come configurare SSL/TLS per Tableau Server e Gateway indipendente nell’architettura di riferimento AWS di esempio. Per un esempio di configurazione che descrive come configurare SSL/TLS su Apache nell’architettura di riferimento AWS, consulta Esempio: configurare SSL/TLS nell’architettura di riferimento AWS.

Al momento, TLS non è supportato per i processi back-end di Tableau Server eseguiti nell’intervallo 8000-9000. Per abilitare TLS, devi configurare Gateway indipendente con una connessione di inoltro a Tableau Server.

Questa procedura descrive come abilitare e configurare TLS in Gateway indipendente per Tableau Server e in Tableau Server per Gateway indipendente. La procedura crittografa il traffico di inoltro su HTTPS/443 e il traffico di Housekeeping su HTTPS/21319.

Le procedure relative a Linux in questo esempio mostrano i comandi per le distribuzioni di tipo RHEL. In particolare, i comandi riportati di seguito sono stati sviluppati con la distribuzione Amazon Linux 2. Se esegui una distribuzione di Ubuntu, modifica i comandi di conseguenza.

Le indicazioni riportate sono prescrittive per la specifica architettura di riferimento AWS di esempio presentata in questa guida. Pertanto, le configurazioni opzionali non sono incluse. Per la documentazione di riferimento completa, consulta Configurare TLS in Gateway indipendente (Linux(Il collegamento viene aperto in una nuova finestra)).

Prima di configurare TLS

Esegui le configurazioni di TLS al di fuori dell’orario lavorativo. La configurazione richiede almeno un riavvio di Tableau Server. Se si esegue una distribuzione completa dell’architettura di riferimento a quattro nodi, il riavvio può richiedere tempo.

  • Verifica che i client possano connettersi a Tableau Server tramite HTTP. La configurazione di TLS con Gateway indipendente è un processo in più fasi e potrebbe richiedere la risoluzione dei problemi. Pertanto, è consigliabile iniziare con una distribuzione di Tableau Server completamente operativa prima di configurare TLS.
  • Raccogli i certificati TLS/SSL, le chiavi e le risorse correlate. Avrai bisogno di certificati SSL per le istanze di Gateway indipendente e per Tableau Server. Per semplificare la gestione e la distribuzione dei certificati e come procedura consigliata per la sicurezza, è consigliabile utilizzare i certificati generati da un’importante e affidabile autorità di certificazione (CA) terza. In alternativa, puoi generare certificati autofirmati o utilizzare i certificati di un’infrastruttura a chiave pubblica per TLS.

    La configurazione di esempio in questo argomento utilizza i seguenti nomi di risorse a titolo illustrativo:

    • tsig-ssl.crt: il certificato TLS/SSL per il Gateway indipendente.
    • tsig-ssl.key: la chiave privata per tsig-ssl.crt nel Gateway Indipendente.
    • ts-ssl.crt: il certificato TLS/SSL per Tableau Server.
    • ts-ssl.key: la chiave privata per tsig-ssl.crt in Tableau Server.
    • tableau-server-CA.pem: il certificato radice dell’autorità di certificazione che genera i certificati per i computer di Tableau Server. Questo certificato in genere non è necessario se si utilizzano certificati di importanti terze parti affidabili.
    • rootTSIG-CACert.pem: il certificato radice dell’autorità di certificazione che genera i certificati per i computer del Gateway indipendente. Questo certificato in genere non è necessario se si utilizzano certificati di importanti terze parti affidabili.
    • Ci sono altri certificati e risorse di file chiave necessari per SAML che sono descritti in dettaglio nella Parte 5 di questa Guida.
    • Se l’implementazione richiede l’uso di un file della catena di certificati, consulta l’articolo della Knowledge Base Configurare TLS su gateway indipendente quando si usa un certificato con una catena di certificati(Il collegamento viene aperto in una nuova finestra).

  • Verifica di avere accesso all’IdP. Se stai utilizzando un IdP per l’autenticazione, probabilmente dovrai apportare modifiche al destinatario e agli URL di destinazione nell’IdP dopo aver configurato SSL/TLS.

Configurare i computer Gateway indipendente per TLS

La configurazione di TLS può essere un processo soggetto a errori. Poiché la risoluzione dei problemi in due istanze di Gateway indipendente può richiedere molto tempo, consigliamo di abilitare e configurare TLS sull’implementazione EDG con un solo Gateway indipendente. Dopo aver verificato che TLS funzioni nella distribuzione, configura il secondo computer Gateway indipendente.

Fase 1: distribuire certificati e chiavi al computer Gateway indipendente

Puoi distribuire le risorse in qualsiasi directory arbitraria, purché l’utente tsig-httpd abbia accesso in lettura ai file. I percorsi di questi file sono indicati in altre procedure. Useremo i percorsi di esempio in /etc/ssl, come mostrato di seguito, in tutto l’argomento.

  1. Crea la directory per la chiave privata:

    sudo mkdir -p /etc/ssl/private
  2. Copia i file del certificato e della chiave nei percorsi /etc/ssl. Ad esempio,

    sudo cp tsig-ssl.crt /etc/ssl/certs/
    sudo cp tsig-ssl.key /etc/ssl/private/
  3. (Facoltativo) Se utilizzi un certificato autofirmato o PKI per SSL/TLS su Tableau Server, devi copiare anche il file del certificato radice della CA sul computer Gateway indipendente. Ad esempio,

    sudo cp tableau-server-CA.pem /etc/ssl/certs/

Fase 2: aggiornare le variabili di ambiente per TLS

È necessario aggiornare le variabili di ambiente della porta e del protocollo per la configurazione di Gateway indipendente.

Modifica questi valori aggiornando il file, /etc/opt/tableau/tableau_tsig/environment.bash, come segue:

TSIG_HK_PROTOCOL="https"
TSIG_PORT="443"
TSIG_PROTOCOL="https"

Fase 3: aggiornare il file di configurazione dello stub per il protocollo HK

Modifica manualmente il file di configurazione dello stub (/var/opt/tableau/tableau_tsig/config/httpd.conf.stub) per impostare le direttive httpd Apache relative a TLS per il protocollo di Housekeeping (HK).

Il file di configurazione dello stub include un blocco di direttive relative a TLS commentate con un indicatore #TLS#. Rimuovi gli indicatori dalle direttive come mostrato nell’esempio seguente. Tieni presente che l’esempio mostra l’uso del certificato CA radice per il certificato SSL utilizzato in Tableau Server con l’opzione SSLCACertificateFile.

#TLS# SSLPassPhraseDialog exec:/path/to/file
<VirtualHost *:${TSIG_HK_PORT}>
SSLEngine on
#TLS# SSLHonorCipherOrder on
#TLS# SSLCompression off
SSLCertificateFile /etc/ssl/certs/tsig-ssl.crt
SSLCertificateKeyFile /etc/ssl/private/tsig-ssl.key
SSLCACertificateFile /etc/ssl/certs/tableau-server-CA.pem
#TLS# SSLCARevocationFile /path/to/file
</VirtualHost>

Queste modifiche andranno perse se si reinstalla Gateway indipendente. È consigliabile creare una copia di backup.

Fase 4: copiare il file stub e riavviare il servizio

  1. Copia il file che hai aggiornato nell’ultima fase per aggiornare httpd.conf con le modifiche:

    cp /var/opt/tableau/tableau_tsig/config/httpd.conf.stub /var/opt/tableau/tableau_tsig/config/httpd.conf
  2. Riavvia il servizio Gateway indipendente:

    sudo su - tableau-tsig
    systemctl --user restart tsig-httpd
    exit

Dopo il riavvio, Gateway indipendente non sarà operativo finché non esegui la serie di fasi successiva in Tableau Server. Dopo aver completato le fasi in Tableau Server, Gateway indipendente raccoglierà le modifiche e sarà online.

Configurare Nodo 1 di Tableau Server per TLS

Esegui queste fasi su Nodo 1 nella distribuzione di Tableau Server.

Fase 1: copiare certificati e chiavi e arrestare TSM

  1. Verifica di avere copiato i certificati e le chiavi "SSL esterno" di Tableau Server in Nodo 1.

  2. Per ridurre al minimo i tempi di inattività, è consigliabile arrestare TSM, eseguire le fasi seguenti e quindi avviare TSM dopo l’applicazione delle modifiche:

    tsm stop

Fase 2: impostare le risorse del certificato e abilitare la configurazione di Gateway indipendente

  1. Specifica la posizione dei file del certificato e della chiave per Gateway indipendente. Questi percorsi fanno riferimento alla posizione sui computer Gateway indipendente. Tieni presente che questo esempio presuppone che lo stesso certificato e la stessa coppia di chiavi vengano utilizzati per proteggere il traffico HTTPS e di Housekeeping:

    tsm configuration set -k gateway.tsig.ssl.cert.file_name -v /etc/ssl/certs/tsig-ssl.crt --force-keys 
    tsm configuration set -k gateway.tsig.ssl.key.file_name -v /etc/ssl/private/tsig-ssl.key --force-keys	
  2. Abilita TLS per i protocolli HTTPS e HK per Gateway indipendente:

    tsm configuration set -k gateway.tsig.ssl.enabled -v true --force-keys
    tsm configuration set -k gateway.tsig.hk.ssl.enabled -v true --force-keys
  3. (Facoltativo) Se utilizzi un certificato autofirmato o PKI per SSL/TLS su Gateway indipendente, devi caricare il file del certificato radice della CA. Il file del certificato radice dell’autorità di certificazione è il certificato radice utilizzato per generare i certificati per i computer del gateway indipendente. Ad esempio,

    tsm security custom-cert add -c rootTSIG-CACert.pem
  4. (Facoltativo) Se utilizzi un certificato autofirmato o PKI per SSL/TLS su Tableau Server, devi copiare il file del certificato radice dell’autorità di certificazione nella directory /etc/ssl/certs del Gateway indipendente. Il file del certificato radice dell’autorità di certificazione è il certificato radice utilizzato per generare i certificati per i computer di Tableau Server. Dopo aver copiato il certificato nel Gateway indipendente devi specificare la posizione del certificato sul Nodo 1 con il seguente comando tsm. Ad esempio,

    tsm configuration set -k gateway.tsig.ssl.proxy.gateway_relay_cluster.cacertificatefile -v /etc/ssl/certs/tableau-server-CA.pem --force-keys
  5. (Facoltativo: solo a scopo di test) Se stai utilizzando la condivisione di certificati autofirmati o PKI tra i computer e quindi i nomi dei soggetti nei certificati non corrispondono ai nomi dei computer, devi disabilitare la verifica dei certificati. 

    tsm configuration set -k gateway.tsig.ssl.proxy.verify -v optional_no_ca --force-keys

Fase 3: abilitare "SSL esterno" per Tableau Server e applicare le modifiche

  1. Abilita e configura "SSL esterno" in Tableau Server:

    tsm security external-ssl enable --cert-file ts-ssl.crt --key-file ts-ssl.key
  2. Applica le modifiche.

    tsm pending-changes apply

Fase 4: aggiornare il file JSON di configurazione del gateway e avviare tsm

  1. Aggiorna il file di configurazione di Gateway indipendente (ad esempio, tsig.json) sul lato Tableau Server per specificare il protocollo https per gli oggetti di Gateway indipendente:

    "protocol" : "https",
  2. Rimuovi (o commenta) le informazioni di connessione per la seconda istanza di Gateway indipendente. Assicurati di verificare il JSON in un editor esterno prima di salvarlo.

    Dopo aver configurato e convalidato TLS per la singola istanza di Gateway indipendente, aggiorna il file JSON con le informazioni di connessione per la seconda istanza di Gateway indipendente.

  3. Esegui questo comando per aggiornare la configurazione di Gateway indipendente:

    tsm topology external-services gateway update -c tsig.json
  4. Avvia TSM.

    tsm start
  5. Durante l’avvio di TSM, accedi all’istanza di Gateway indipendente e riavvia il servizio tsig-httpd:

    sudo su - tableau-tsig
    systemctl --user restart tsig-httpd
    exit

Aggiornare a HTTPS gli URL del modulo di autenticazione dell’IdP

Se hai configurato un provider di identità esterno per Tableau, probabilmente dovrai aggiornare gli URL restituiti nella dashboard amministrativa dell’IdP.

Ad esempio, se utilizzi un’applicazione di pre-autenticazione Okta, dovrai aggiornare l’applicazione in modo da utilizzare il protocollo HTTPS per l’URL destinatario e l’URL di destinazione.

Configurare il servizio di bilanciamento del carico AWS per HTTPS

Se stai eseguendo la distribuzione con il servizio di bilanciamento del carico AWS come documentato in questa guida, riconfigura il servizio di bilanciamento del carico AWS in modo da inviare il traffico HTTPS ai computer che eseguono Gateway indipendente:

  1. Elimina il gruppo di destinazione HTTP esistente:

    In Gruppi di destinazione seleziona il gruppo di destinazione HTTP che è stato configurato per il servizio di bilanciamento del carico, fai clic su Azioni e quindi su Elimina.

  2. Crea il gruppo di destinazione HTTPS:

    Gruppi di destinazione > Crea gruppo di destinazione

    • Seleziona "Istanze"
    • Inserisci un nome per il gruppo di destinazione, ad esempio TG-internal-HTTPS
    • Seleziona il VPC
    • Protocollo: HTTPS 443
    • In Controlli di integrità > Impostazioni avanzate controlli di integrità > Codici di riuscita aggiungi la lista dei codici da leggere:200,303.
    • Fai clic su Crea.
  3. Seleziona il gruppo di destinazione appena creato, quindi fai clic sulla scheda Destinazione

    • Fai clic su Modifica.
    • Seleziona l’istanza EC2 che esegue il Gateway indipendente Tableau Server configurato, quindi fai clic su Aggiungi a registrate.
    • Fai clic su Salva.
  4. Dopo aver creato il gruppo di destinazione, è necessario abilitare la persistenza:

    • Apri la pagina del gruppo di destinazione AWS (EC2 > Bilanciamento del carico > Gruppi di destinazione), quindi seleziona l’istanza del gruppo di destinazione appena configurata. Nel menu Azione seleziona Modifica attributi.
    • Nella pagina Modifica attributi seleziona Persistenza, specifica una durata di 1 day, quindi scegli Salva modifiche.
  5. Sul servizio di bilanciamento del carico, aggiorna le regole del listener. Seleziona il servizio di bilanciamento del carico che hai configurato per questa distribuzione, quindi fai clic sulla scheda Listener.

    • Per HTTP:80, fai clic su Visualizza/modifica regole. Nella pagina Regole visualizzata fai clic sull’icona di modifica (una volta nella parte superiore della pagina e quindi di nuovo accanto alla regola) per modificare la regola. Elimina la regola THEN esistente e sostituiscila facendo clic su Aggiungi azione > Reindirizza a.... Nella configurazione THEN risultante, specifica HTTPS e la porta 443 e mantieni le impostazioni predefinite per le altre opzioni. Salva l’impostazione, quindi fai clic su Aggiorna.
    • Per HTTPS:443, fai clic su Visualizza/modifica regole. Nella pagina Regole visualizzata fai clic sull’icona di modifica (una volta nella parte superiore della pagina e quindi di nuovo accanto alla regola) per modificare la regola. Elimina la regola THEN esistente e sostituiscila facendo clic su Aggiungi azione > Inoltra a.... Specifica come gruppo di destinazione il gruppo HTTPS che hai appena creato. In Persistenza a livello di gruppo abilita la persistenza e imposta la durata su 1 giorno. Salva l’impostazione, quindi fai clic su Aggiorna.
  6. Nel servizio di bilanciamento del carico aggiorna il timeout di inattività a 400 secondi. Seleziona il servizio di bilanciamento del carico che hai configurato per questa distribuzione, quindi fai clic su Azioni > Modifica attributi. Imposta Timeout di inattività su 400 secondi, quindi fai clic su Salva.

Convalidare TLS

Per convalidare la funzionalità TLS, accedi a Tableau Server con l’URL pubblico (ad esempio, https://tableau.example.com) tramite l’account amministratore di Tableau creato all’inizio di questa procedura.

Se TSM non si avvia o vengono visualizzati altri errori, consulta Risolvere i problemi del Gateway indipendente di Tableau Server.

Configurare la seconda istanza di Gateway indipendente per SSL

Dopo aver configurato correttamente la prima istanza di Gateway indipendente, distribuisci la seconda istanza.

Il processo per la distribuzione del secondo Gateway indipendente richiede i seguenti passaggi:

  1. Nella (prima) istanza configurata del Gateway indipendente: copia i seguenti file nelle posizioni corrispondenti della seconda istanza del gateway indipendente:

    • /etc/ssl/certs/tsig-ssl.crt
    • /etc/ssl/private/tsig-ssl.key (dovrai creare la directory private nella seconda istanza).
    • /var/opt/tableau/tableau_tsig/config/httpd.conf.stub
    • /etc/opt/tableau/tableau_tsig/environment.bash
  2. Sul nodo 1 della distribuzione di Tableau Server: aggiorna il file di connessione (tsig.json) con le informazioni di connessione dal secondo Gateway indipendente.

    Un esempio di file di connessione (tsig.json ) è riportato qui:

    {
    "independentGateways": [
     {
       "id": "ip-10-0-1-169.ec2.internal",
       "host": "ip-10-0-1-169.ec2.internal",
       "port": "21319",
       "protocol" : "https",
       "authsecret": "13660-27118-29070-25482-9518-22453"
     },
     {
       "id": "ip-10-0-2-230.ec2.internal",
       "host": "ip-10-0-2-230.ec2.internal",
       "port": "21319",
       "protocol" : "https",
       "authsecret": "9055-27834-16487-27455-30409-7292"
     }]
     }
  3. Sul nodo 1 della distribuzione di Tableau Server: esegui i seguenti comandi per aggiornare la configurazione:

    tsm stop
    tsm topology external-services gateway update -c tsig.json
    
    tsm start
  4. Su entrambe le istanze di Gateway indipendente: all’avvio di Tableau Server, riavvia il processo tsig-httpd su entrambe le istanze di Gateway indipendente:

    sudo su - tableau-tsig
    systemctl --user restart tsig-httpd
    exit
  5. In AWS EC2>Gruppi di destinazione: aggiorna il gruppo di destinazione per includere l’istanza EC2 che esegue la seconda istanza del Gateway indipendente.

    Seleziona il gruppo di destinazione appena creato, quindi fai clic sulla scheda Destinazione: 

    • Fai clic su Modifica.
    • Seleziona l’istanza EC2 del secondo computer Gateway indipendente, quindi fai clic su Aggiungi a registrato. Fai clic su Salva.

Configurare SSL per Postgres

Puoi facoltativamente configurare SSL (TSL) per Postgres per la connessione al repository esterno su Tableau Server.

Per semplificare la gestione e la distribuzione dei certificati e come procedura consigliata per la sicurezza, è consigliabile utilizzare i certificati generati da un’importante e affidabile autorità di certificazione (CA) terza. In alternativa, puoi generare certificati autofirmati o utilizzare i certificati di un’infrastruttura a chiave pubblica per TLS.

Questa procedura descrive come utilizzare OpenSSL per generare un certificato autofirmato nell’host Postgres in una distribuzione Linux di tipo RHEL nell’architettura di riferimento AWS di esempio.

Dopo aver generato e firmato il certificato SSL, devi copiare il certificato CA nell’host Tableau.

Nell’host che esegue Postgres:

  1. Genera la chiave dell’autorità di certificazione (CA) radice di firma:

    openssl genrsa -out pgsql-rootCAKey.pem 2048
  2. Crea il certificato CA radice:

    openssl req -x509 -sha256 -new -nodes -key pgsql-rootCAKey.pem -days 3650 -out pgsql-rootCACert.pem

    Ti verrà richiesto di inserire i valori per i campi del certificato. Ad esempio:

    Country Name (2 letter code) [XX]:US
    State or Province Name (full name) []:Washington
    Locality Name (eg, city) [Default City]:Seattle
    Organization Name (eg, company) [Default Company Ltd]:Tableau
    Organizational Unit Name (eg, section) []:Operations
    Common Name (eg, Postgres server's hostname) []:ip-10-0-1-189.us-west-1.compute.internal
    Email Address []:example@tableau.com				
  3. Crea il certificato e la relativa chiave (server.csr e server.key nell’esempio seguente) per il computer Postgres. Il nome del soggetto per il certificato deve corrispondere al nome DNS privato EC2 dell’host Postgres. Il nome del soggetto è impostato con l’opzione -subj con il formato "/CN=<private DNS name>", ad esempio:

    openssl req -new -nodes -text -out server.csr -keyout server.key -subj "/CN=ip-10-0-1-189.us-west-1.compute.internal"
  4. Firma il nuovo certificato con il certificato CA che hai creato nella fase 2. Il seguente comando invia in output anche il certificato nel formato crt:

    openssl x509 -req -in server.csr -days 3650 -CA pgsql-rootCACert.pem -CAkey pgsql-rootCAKey.pem -CAcreateserial -out server.crt
  5. Copia i file crt e i file chiave key nel percorso /var/lib/pgsql/13/data/ di Postgres:

    sudo cp server.crt /var/lib/pgsql/13/data/
    sudo cp server.key /var/lib/pgsql/13/data/
  6. Passa all’utente radice:

    sudo su
  7. Imposta le autorizzazioni sui file cer e i file chiave. Esegui questi comandi:

    cd /var/lib/pgsql/13/data
    chown postgres.postgres server.crt
    chown postgres.postgres server.key
    chmod 0600 server.crt
    chmod 0600 server.key
  8. Aggiorna il file di configurazione pg_haba,/var/lib/pgsql/13/data/pg_hba.conf per specificare il trust md5:

    Modifica le istruzioni di connessione esistenti da

    host all all 10.0.30.0/24 password e

    host all all 10.0.31.0/24 password

    a

    host all all 10.0.30.0/24 md5 e

    host all all 10.0.31.0/24 md5.

  9. Aggiorna il file postgresql, /var/lib/pgsql/13/data/postgresql.conf, aggiungendo questa riga:

    ssl = on
  10. Esci dalla modalità utente radice:

    exit
  11. Riavvia Postgres:

    sudo systemctl restart postgresql-13

Facoltativo: abilitare la convalida dell’attendibilità del certificato su Tableau Server per Postgres SSL

Se hai seguito la procedura di installazione nella Parte 4 - Installazione e configurazione di Tableau Server, Tableau Server è configurato con SSL opzionale per la connessione Postgres. Ciò significa che la configurazione di SSL su Postgres (come descritto sopra) risulterà in una connessione crittografata.

Se desideri richiedere la convalida dell’attendibilità del certificato per la connessione, devi eseguire il seguente comando su Tableau Server per riconfigurare la connessione host di Postgres:

tsm topology external-services repository replace-host -f <filename>.json -c CACert.pem

Dove <filename>.json è il file di connessione descritto in Configurare Postgres esterno. E CACert.pem è il file del certificato dell’autorità di certificazione per il certificato SSL/TLS utilizzato da Postgres.

Facoltativo: verifica la connettività SSL

Per verificare la connettività SSL, devi:

  • Installare il client Postgres su Tableau Server Nodo 1.
  • Copiare il certificato radice che hai creato nella procedura precedente sull’host di Tableau.
  • Connetterti al server Postgres dal Nodo 1

Installare il client Postgres sul Nodo 1

In questo esempio viene illustrato come installare Postgres versione 13.4. Installa la stessa versione in esecuzione per il repository esterno.

  1. Nel Nodo 1, Crea e modifica il file pgdg.repo nel percorso /etc/yum.repos.d. Popola il file con le seguenti informazioni di configurazione.

    [pgdg13]
    name=PostgreSQL 13 for RHEL/CentOS 7 - x86_64
    baseurl=https://download.postgresql.org/pub/repos/yum/13/redhat/rhel-7-x86_64
    enabled=1
    gpgcheck=0
  2. Installa il client Postgres:

    sudo yum install postgresql13-13.4-1PGDG.rhel7.x86_64

Copiare il certificato radice nel Nodo 1

Copia il certificato dell’autorità di certificazione (pgsql-rootCACert.pem) nell’host di Tableau:

scp ec2-user@<private-DNS-name-of-Postgress-host>:/home/ec2-user/pgsql-rootCACert.pem /home/ec2-user

Connettersi all’host Postgres tramite SSL dal Nodo 1:

esegui il comando seguente dal Nodo 1, specificando l’indirizzo IP dell’host del server Postgres e il certificato radice:

psql "postgresql://postgres@<IP-address>:5432/postgres?sslmode=verify-ca&sslrootcert=pgsql-rootCACert.pem"

Ad esempio:

 psql "postgresql://postgres@10.0.1.189:5432/postgres?sslmode=verify-ca&sslrootcert=pgsql-rootCACert.pem"

Postgres richiederà la password. Dopo aver effettuato l’accesso, la shell restituirà:

psql (13.4)
SSL connection (protocol: TLSv1.2, cipher: ECDHE-RSA-AES256-GCM-SHA384, bits: 256, compression: off)
Type "help" for help.
postgres=#

Configurare SMTP e le notifiche degli eventi

Tableau Server invia notifiche tramite e-mail ad amministratori e utenti. Per abilitare questa funzionalità, devi configurare Tableau Server per inviare la posta al tuo server e-mail. È inoltre necessario specificare i tipi di eventi, le soglie e le informazioni sulla sottoscrizione che si desidera inviare.

Per la configurazione iniziale di SMTP e delle notifiche è consigliabile utilizzare il modello di file di configurazione seguente per creare un file json. Puoi anche impostare qualsiasi singola chiave di configurazione riportata di seguito con la sintassi descritta in tsm configuration set (Linux(Il collegamento viene aperto in una nuova finestra)).

Esegui questa procedura su Nodo 1 nella distribuzione di Tableau Server:

  1. Copia il modello json seguente in un file. Personalizza il file con le opzioni di configurazione SMTP, la sottoscrizione e le notifiche di avviso per la tua organizzazione.

    {
    "configKeys": {
    	"svcmonitor.notification.smtp.server": "SMTP server host name",
    	"svcmonitor.notification.smtp.send_account": "SMTP user name",
    	"svcmonitor.notification.smtp.port": 443,
    	"svcmonitor.notification.smtp.password": "SMTP user account password",
    	"svcmonitor.notification.smtp.ssl_enabled": true,
    	"svcmonitor.notification.smtp.from_address": "From email address",
    	"svcmonitor.notification.smtp.target_addresses": "To email address1,address2",
    	"svcmonitor.notification.smtp.canonical_url": "Tableau Server URL",
    	"backgrounder.notifications_enabled": true,
    	"subscriptions.enabled": true,
    	"subscriptions.attachments_enabled": true,
    	"subscriptions.max_attachment_size_megabytes": 150,
    	"svcmonitor.notification.smtp.enabled": true,
    	"features.DesktopReporting": true,
    	"storage.monitoring.email_enabled": true,
    	"storage.monitoring.warning_percent": 20,
    	"storage.monitoring.critical_percent": 15,
    	"storage.monitoring.email_interval_min": 25,
    	"storage.monitoring.record_history_enabled": true
    	}
    }
  2. Esegui tsm settings import -f file.json per passare il file json a Tableau Services Manager.

  3. Esegui il comando tsm pending-changes apply per applicare le modifiche.

  4. Esegui tsm email test-smtp-connection per visualizzare e verificare la configurazione della connessione.

Installare il driver PostgreSQL

Per visualizzare le viste amministratore su Tableau Server, il driver PostgreSQL deve essere installato nel Nodo 1 della distribuzione di Tableau Server.

  1. Visita la pagina di download dei driver di Tableau(Il collegamento viene aperto in una nuova finestra) e copia l’URL per il file jar PostgreSQL.

  2. Esegui la procedura seguente su ciascun nodo della distribuzione di Tableau:

    • Crea il percorso file seguente:

      sudo mkdir -p /opt/tableau/tableau_driver/jdbc

    • Dal nuovo percorso, scarica la versione più recente del file jar PostgreSQL. Ad esempio:

      sudo wget https://downloads.tableau.com/drivers/linux/postgresql/postgresql-42.2.22.jar

  3. Sul nodo iniziale, riavvia Tableau Server:

    tsm restart

Configurare un criterio per le password complesse

Se non stai distribuendo Tableau Server con una soluzione di autenticazione IdP, è consigliabile rafforzare la sicurezza del criterio predefinito per le password di Tableau.

Se stai distribuendo Tableau Server con un IdP, devi gestire i criteri per le password con l’IdP.

La procedura seguente include la configurazione json per l’impostazione dei criteri per le password in Tableau Server. Per maggiori informazioni sulle opzioni seguenti, consulta Autenticazione locale (Linux(Il collegamento viene aperto in una nuova finestra)).

  1. Copia il modello json seguente in un file. Compila i valori chiave con la configurazione dei criteri password.

    {
     "configKeys": {
    	"wgserver.localauth.policies.mustcontainletters.enabled": true,
    	"wgserver.localauth.policies.mustcontainuppercase.enabled": true,
    	"wgserver.localauth.policies.mustcontainnumbers.enabled": true,
    	"wgserver.localauth.policies.mustcontainsymbols.enabled": true,
    	"wgserver.localauth.policies.minimumpasswordlength.enabled": true,
    	"wgserver.localauth.policies.minimumpasswordlength.value": 12,
    	"wgserver.localauth.policies.maximumpasswordlength.enabled": false,
    	"wgserver.localauth.policies.maximumpasswordlength.value": 255,
    	"wgserver.localauth.passwordexpiration.enabled": true,
    	"wgserver.localauth.passwordexpiration.days": 90,
    	"wgserver.localauth.ratelimiting.maxbackoff.minutes": 60,
    	"wgserver.localauth.ratelimiting.maxattempts.enabled": false,
    	"wgserver.localauth.ratelimiting.maxattempts.value": 5,
    	"vizportal.password_reset": true	
     }
    }
  2. Esegui il comando tsm settings import -f file.json per passare il file json a Tableau Services Manager per configurare Tableau Server.

  3. Esegui il comando tsm pending-changes apply per applicare le modifiche.

Grazie per il tuo feedback.Il tuo feedback è stato inviato. Grazie!