Deel 6 - Configuratie na de installatie

SSL/TLS configureren van Load Balancer naar Tableau Server

Sommige organisaties hebben een end-to-end-versleutelingskanaal nodig van de client naar de backendservice. In de standaardreferentiearchitectuur zoals die tot nu toe beschreven is, wordt SSL van de client naar de Load Balancer opgegeven die op de weblaag van uw organisatie wordt uitgevoerd.

In dit gedeelte wordt beschreven hoe u SSL/TLS configureert voor Tableau Server en de onafhankelijke gateway in de voorbeeld-AWS-referentiearchitectuur. Zie Voorbeeld: SSL/TLS configureren in AWS-referentiearchitectuur voor een configuratievoorbeeld waarin wordt beschreven hoe u SSL/TLS configureert op Apache in de AWS-referentiearchitectuur.

Op dit moment wordt TLS niet ondersteund op de backend Tableau Server-processen die in het bereik 8000-9000 worden uitgevoerd. Om TLS in te schakelen, moet u de onafhankelijke gateway configureren met een relayverbinding met de Tableau Server.

In deze procedure wordt beschreven hoe u TLS inschakelt en configureert op de onafhankelijke gateway naar Tableau Server en op Tableau Server naar de onafhankelijke gateway. De procedure versleutelt het relayverkeer via HTTPS/443 en het housekeepingverkeer via HTTPS/21319.

In de Linux-procedures in dit voorbeeld worden opdrachten voor RHEL-achtige distributies getoond. De opdrachten hier zijn specifiek ontwikkeld met de Amazon Linux 2-distributie. Als u de Ubuntu-distributie gebruikt, moet u de opdrachten dienovereenkomstig bewerken.

De richtlijnen hier zijn aanbevelingen voor de specifieke AWS-voorbeeldreferentiearchitectuur in deze gids. Daarom zijn optionele configuraties niet inbegrepen. Zie TLS configureren op onafhankelijke gateway (Linux(Link wordt in een nieuw venster geopend)) voor volledige referentiedocumentatie.

Voordat u TLS configureert

Voer de TLS-configuraties buiten kantooruren uit. Voor de configuratie is minimaal één herstart van Tableau Server vereist. Als u een volledige implementatie van een referentiearchitectuur met vier knooppunten uitvoert, kan het even duren voordat Tableau Server opnieuw is opgestart.

  • Controleer of clients via HTTP verbinding kunnen maken met Tableau Server. Het configureren van TLS met de onafhankelijke gateway is een proces dat uit meerdere stappen bestaat en waarbij mogelijk wat probleemoplossing nodig is. Daarom raden wij aan om te beginnen met een volledig operationele Tableau Server-implementatie voordat u TLS configureert.
  • Verzamel TLS/SSL-certificaten, sleutels en gerelateerde assets. U hebt SSL-certificaten nodig voor de onafhankelijke gateways en voor Tableau Server. Om certificaatbeheer en -implementatie te vereenvoudigen en als best practice voor de beveiliging, raden we aan om certificaten te gebruiken die zijn gegenereerd door een grote, vertrouwde externe certificeringsinstantie (CA). U kunt er ook voor kiezen om zelfondertekende certificaten te genereren of certificaten van een PKI voor TLS te gebruiken.

    In de voorbeeldconfiguratie in dit onderwerp worden de volgende assetnamen ter illustratie gebruikt:

    • tsig-ssl.crt: het TLS/SSL-certificaat voor de onafhankelijke gateway.
    • tsig-ssl.key: de privésleutel voor tsig-ssl.crt op de onafhankelijke gateway.
    • ts-ssl.crt: het TLS/SSL-certificaat voor Tableau Server.
    • ts-ssl.key: de privésleutel voor tsig-ssl.crt op Tableau Server.
    • tableau-server-CA.pem: het basiscertificaat voor de CA die de certificaten voor de Tableau Server-computers genereert. Dit certificaat is doorgaans niet vereist als u certificaten van grote, vertrouwde derde partijen gebruikt.
    • rootTSIG-CACert.pem: het basiscertificaat voor de CA die de certificaten genereert voor de onafhankelijke gateway-computers. Dit certificaat is doorgaans niet vereist als u certificaten van grote, vertrouwde derde partijen gebruikt.
    • Er zijn nog andere certificaten en belangrijke bestandsassets vereist voor SAML. Deze worden gedetailleerd beschreven in Deel 5 van deze handleiding.
    • Hebt u voor uw implementatie van een certificaatketenbestand nodig? Raadpleeg dan het Knowledge Base-artikel TLS configureren op onafhankelijke gateway bij gebruik van een certificaat met een certificaatketen(Link wordt in een nieuw venster geopend).

  • Controleer of u toegang hebt tot IdP. Als u een IdP gebruikt voor verificatie, moet u waarschijnlijk wijzigingen aanbrengen in de URL's van de ontvanger en de bestemming bij de IdP nadat u SSL/TLS hebt geconfigureerd.

De onafhankelijke gateway-computers voor TLS configureren

De configuratie van TLS kan een foutgevoelig proces zijn. Omdat het veel tijd kan kosten om problemen in twee instanties van de onafhankelijke gateway op te lossen, raden we aan om TLS in te schakelen en te configureren op de EDG-implementatie met slechts één onafhankelijke gateway. Nadat u hebt gecontroleerd of TLS in de hele implementatie werkt, configureert u de tweede onafhankelijke gateway-computer.

Stap 1: distribueer certificaten en sleutels naar de onafhankelijke gateway-computer

U kunt de bestanden naar elke willekeurige map distribueren, zolang de tsig-httpd-gebruiker leesrechten voor de bestanden heeft. De paden naar deze bestanden worden in andere procedures vermeld. We zullen in dit hele onderwerp de voorbeeldpaden onder /etc/ssl gebruiken zoals ze hieronder weergegeven zijn.

  1. Maak een map voor de privésleutel:

    sudo mkdir -p /etc/ssl/private
  2. Kopieer de certificaat- en sleutelbestanden naar de /etc/ssl-paden. Bijvoorbeeld,

    sudo cp tsig-ssl.crt /etc/ssl/certs/
    sudo cp tsig-ssl.key /etc/ssl/private/
  3. (Optioneel) Als u een zelfondertekend certificaat of PKI-certificaat voor SSL/TLS op Tableau Server gebruikt, moet u het CA-rootcertificaatbestand ook naar de onafhankelijke gateway-computer kopiëren. Bijvoorbeeld,

    sudo cp tableau-server-CA.pem /etc/ssl/certs/

Stap 2: werk de omgevingsvariabelen voor TLS bij

U moet de poort- en protocolomgevingsvariabelen voor de configuratie van de onafhankelijke gateway bijwerken.

Wijzig deze waarden door het bestand /etc/opt/tableau/tableau_tsig/environment.bash, als volgt bij te werken:

TSIG_HK_PROTOCOL="https"
TSIG_PORT="443"
TSIG_PROTOCOL="https"

Stap 3: werk het stubconfiguratiebestand voor het HK-protocol bij

Bewerk handmatig het stubconfiguratiebestand (/var/opt/tableau/tableau_tsig/config/httpd.conf.stub) om TLS-gerelateerde Apache-httpd-richtlijnen in te stellen voor het housekeeping (HK)-protocol.

Het stubconfiguratiebestand bevat een blok met TLS-gerelateerde richtlijnen waar een opmerking met een #TLS#-markering bij staat. Verwijder de markeringen uit de richtlijnen zoals in het onderstaande voorbeeld. Houd er rekening mee dat er in het voorbeeld gebruik wordt gemaakt van een root-CA-certificaat voor het SSL-certificaat dat wordt gebruikt op Tableau Server met de SSLCACertificateFile-optie.

#TLS# SSLPassPhraseDialog exec:/path/to/file
<VirtualHost *:${TSIG_HK_PORT}>
SSLEngine on
#TLS# SSLHonorCipherOrder on
#TLS# SSLCompression off
SSLCertificateFile /etc/ssl/certs/tsig-ssl.crt
SSLCertificateKeyFile /etc/ssl/private/tsig-ssl.key
SSLCACertificateFile /etc/ssl/certs/tableau-server-CA.pem
#TLS# SSLCARevocationFile /path/to/file
</VirtualHost>

Deze wijzigingen gaan verloren als u de onafhankelijke gateway opnieuw installeert. Wij raden aan om een reservekopie te maken.

Stap 4: kopieer het stubbestand en start de service opnieuw

  1. Kopieer het bestand dat u in de laatste stap hebt bijgewerkt om httpd.conf bij te werken met de wijzigingen:

    cp /var/opt/tableau/tableau_tsig/config/httpd.conf.stub /var/opt/tableau/tableau_tsig/config/httpd.conf
  2. Start de onafhankelijke gateway-service opnieuw:

    sudo su - tableau-tsig
    systemctl --user restart tsig-httpd
    exit

Nadat u de service opnieuw hebt opgestart, is de onafhankelijke gateway niet operationeel totdat u de volgende stappen op Tableau Server uitvoert. Nadat u de stappen op Tableau Server hebt voltooid, zal de onafhankelijke gateway de wijzigingen oppikken en online gaan.

Tableau Server-knooppunt 1 voor TLS configureren

Voer deze stappen uit op knooppunt 1 van de Tableau Server-implementatie.

Stap 1: kopieer certificaten en sleutels en stop TSM

  1. Controleer of u de externe SSL-certificaten en -sleutels van Tableau Server naar knooppunt 1 hebt gekopieerd.

  2. Om de downtime tot een minimum te beperken, raden we u aan TSM te stoppen, de volgende stappen uit te voeren en TSM opnieuw te starten nadat de wijzigingen zijn toegepast:

    tsm stop

Stap 2: stel certificaatassets in en schakel de configuratie van de onafhankelijke gateway in

  1. Geef de locatie van certificaat- en sleutelbestanden voor de onafhankelijke gateway op. Deze paden verwijzen naar de locatie op de onafhankelijke gateway-computers. Houd er rekening mee dat in dit voorbeeld wordt aangenomen dat hetzelfde certificaat en sleutelpaar worden gebruikt om HTTPS- en housekeeping-verkeer te beschermen:

    tsm configuration set -k gateway.tsig.ssl.cert.file_name -v /etc/ssl/certs/tsig-ssl.crt --force-keys 
    tsm configuration set -k gateway.tsig.ssl.key.file_name -v /etc/ssl/private/tsig-ssl.key --force-keys	
  2. Schakel TLS in voor HTTPS- en HK-protocollen voor de onafhankelijke gateway:

    tsm configuration set -k gateway.tsig.ssl.enabled -v true --force-keys
    tsm configuration set -k gateway.tsig.hk.ssl.enabled -v true --force-keys
  3. (Optioneel) Als u een zelfondertekend certificaat of PKI-certificaat gebruikt voor SSL/TLS op de onafhankelijke gateway, moet u het CA-rootcertificaatbestand uploaden. Het CA-rootcertificaatbestand is het rootcertificaat dat werd gebruikt om de certificaten voor de onafhankelijke gateway-computers te genereren. Bijvoorbeeld,

    tsm security custom-cert add -c rootTSIG-CACert.pem
  4. (Optioneel) Als u een zelfondertekend certificaat of PKI-certificaat voor SSL/TLS op Tableau Server gebruikt, moet u het CA-rootcertificaatbestand naar de onafhankelijke gateway-directory /etc/ssl/certs kopiëren. Het CA-rootcertificaatbestand is het rootcertificaat dat is gebruikt om de certificaten voor de Tableau Server-computers te genereren. Nadat u het certificaat naar de onafhankelijke gateway hebt gekopieerd, moet u de locatie van het certificaat op knooppunt 1 opgeven met de volgende tsm-opdracht. Bijvoorbeeld,

    tsm configuration set -k gateway.tsig.ssl.proxy.gateway_relay_cluster.cacertificatefile -v /etc/ssl/certs/tableau-server-CA.pem --force-keys
  5. (Optioneel: alleen voor testdoeleinden) Als u zelfondertekende certificaten of PKI-certificaten tussen computers deelt en de onderwerpnamen op de certificaten daarom niet overeenkomen met de computernamen, moet u certificaatverificatie uitschakelen. 

    tsm configuration set -k gateway.tsig.ssl.proxy.verify -v optional_no_ca --force-keys

Stap 3: schakel 'externe SSL' in voor Tableau Server en pas de wijzigingen toe

  1. Schakel 'Externe SSL' op Tableau Server in en configureer dit:

    tsm security external-ssl enable --cert-file ts-ssl.crt --key-file ts-ssl.key
  2. Pas de wijzigingen toe.

    tsm pending-changes apply

Stap 4: werk het JSON-configuratiebestand van de gateway bij en start tsm

  1. Werk het configuratiebestand van de onafhankelijke gateway bij (bijvoorbeeld tsig.json) aan de Tableau Server-zijde om het https-protocol voor de onafhankelijke gateway-objecten op te geven:

    "protocol" : "https",
  2. Verwijder (of maak een opmerking) over de verbindingsgegevens voor de tweede instantie van de onafhankelijke gateway. Controleer de JSON in een externe editor voordat u deze opslaat.

    Nadat u TLS voor de ene instantie van de onafhankelijke gateway hebt geconfigureerd en gevalideerd, werkt u dit JSON-bestand bij met de verbindingsgegevens voor de tweede instantie van de onafhankelijke gateway.

  3. Voer de volgende opdracht uit om de configuratie van de onafhankelijke gateway bij te werken:

    tsm topology external-services gateway update -c tsig.json
  4. Start TSM.

    tsm start
  5. Terwijl TSM start, meldt u zich aan bij de onafhankelijke gateway-instantie en start u de tsig-httpd-service opnieuw op:

    sudo su - tableau-tsig
    systemctl --user restart tsig-httpd
    exit

IdP-verificatiemodule-URL's bijwerken naar HTTPS

Als u een externe identiteitsprovider voor Tableau hebt geconfigureerd, moet u waarschijnlijk de retour-URL's bijwerken in het IdP-beheerdashboard.

Als u bijvoorbeeld een pre-auth-toepassing van Okta gebruikt, moet u de toepassing bijwerken zodat deze het HTTPS-protocol gebruikt voor de Ontvanger-URL en de Bestemmings-URL.

AWS-Load Balancer voor HTTPS configureren

Als u implementeert met AWS Load Balancer zoals uiteengezet in deze handleiding, configureert u de AWS Load Balancer opnieuw om HTTPS-verkeer te verzenden naar de computers waarop de onafhankelijke gateway wordt uitgevoerd:

  1. Bestaande HTTP-doelgroep verwijderen:

    Ga naar Target Groups (Doelgroepen) en selecteer de HTTP-doelgroep die is geconfigureerd voor de Load Balancer. Klik op Acties en vervolgens op Verwijderen.

  2. HTTPS-doelgroep aanmaken:

    Doelgroepen > Doelgroep maken

    • Selecteer Instances (Instanties)
    • Voer een doelgroepnaam in, bijvoorbeeld TG-internal-HTTPS
    • Selecteer uw VPC
    • Protocol: HTTPS 443
    • Onder Health checks (Gezondheidscontroles) > Advanced health checks settings (Geavanceerde instellingen voor gezondheidscontroles) > Success codes (Succescodes), voegt u de volgende codelijst toe: 200,303.
    • Klik op Maken.
  3. Selecteer de doelgroep die u zojuist hebt gemaakt en klik op het tabblad Doelen

    • Klik op Bewerken
    • Selecteer de EC2-instantie waarop de door u geconfigureerde onafhankelijke gateway van Tableau Server wordt uitgevoerd en klik dan op Toevoegen aan geregistreerd.
    • Klik op Opslaan.
  4. Nadat u de doelgroep hebt aangemaakt, moet u de sticky-functie inschakelen:

    • Open de AWS-doelgroeppagina (EC2> Load Balancing> Doelgroepen) en selecteer de doelgroepinstantie die u zojuist hebt ingesteld. Ga naar het menu Actie en selecteer Edit attributes (Kenmerken bewerken).
    • Op de pagina Kenmerken bewerken selecteert u Stickiness (Kleverigheid). Geef een duur op van 1 day en klik op Wijzigingen opslaan.
  5. Werk de listener-regels bij op de Load Balancer. Selecteer de Load Balancer die u voor deze implementatie hebt geconfigureerd en klik vervolgens op het tabblad Listeners (Luisteraars).

    • Klik voor HTTP:80 op View/edit rules (Regels weergeven/bewerken). Op de resulterende Regelspagina, klikt u op het bewerkingspictogram (eerst bovenaan de pagina en vervolgens nogmaals naast de regel) om de regel te bewerken. Verwijder de bestaande THEN-regel en vervang deze door te klikken op Actie toevoegen > Redirect to... (Omleiden naar...). Geef in de resulterende THEN-configuratie HTTPS op en poort 443 en laat de overige opties op de standaardinstellingen staan. Sla de instelling op en klik vervolgens op Bijwerken.
    • Klik voor HTTPS:443 op View/edit rules (Regels weergeven/bewerken). Op de resulterende Regelspagina, klikt u op het bewerkingspictogram (eerst bovenaan de pagina en vervolgens nogmaals naast de regel) om de regel te bewerken. Verwijder de bestaande THEN-regel en vervang deze door te klikken op Actie toevoegen > Forward to... (Doorsturen naar...). Geef de Doelgroep op voor de HTTPS-groep die u zojuist hebt gemaakt. Schakel onder Group-level stickiness (Kleverigheid op groepsniveau) kleverigheid in en stel de duur in op 1 dag. Sla de instelling op en klik vervolgens op Bijwerken.
  6. Werk de inactiviteits-time-out voor de Load Balancer bij naar 400 seconden. Selecteer de Load Balancer die u voor deze implementatie hebt geconfigureerd en klik vervolgens op Acties > Kenmerken bewerken. Stel Idle timeout (Time-out bij inactiviteit) in op 400 seconden, en klik dan op Opslaan.

TLS valideren

Om de TLS-functionaliteit te valideren, meldt u zich aan bij Tableau Server met de openbare URL (bijvoorbeeld https://tableau.example.com) met het Tableau-beheerdersaccount dat u aan het begin van deze procedure hebt gemaakt.

Start TSM niet of krijgt u andere foutmeldingen? Raadpleeg dan Problemen met de onafhankelijke gateway van Tableau Server oplossen.

Tweede instantie van de onafhankelijke gateway voor SSL configureren

Nadat u de eerste instantie van de onafhankelijke gateway succesvol hebt geconfigureerd, implementeert u de tweede instantie.

Voor het proces voor de implementatie van de tweede onafhankelijke gateway moet u de volgende stappen doorlopen:

  1. Op de geconfigureerde (eerste) instantie van de onafhankelijke gateway: kopieer de volgende bestanden naar de overeenkomstige locaties op de tweede instantie van de onafhankelijke gateway:

    • /etc/ssl/certs/tsig-ssl.crt
    • /etc/ssl/private/tsig-ssl.key (U moet de private-directory op de tweede instantie aanmaken).
    • /var/opt/tableau/tableau_tsig/config/httpd.conf.stub
    • /etc/opt/tableau/tableau_tsig/environment.bash
  2. Op knooppunt 1 van de Tableau Server-implementatie: werk het verbindingsbestand (tsig.json) bij met de verbindingsgegevens van de tweede onafhankelijke gateway.

    Zie hier een voorbeeld van een verbindingsbestand (tsig.json):

    {
    "independentGateways": [
     {
       "id": "ip-10-0-1-169.ec2.internal",
       "host": "ip-10-0-1-169.ec2.internal",
       "port": "21319",
       "protocol" : "https",
       "authsecret": "13660-27118-29070-25482-9518-22453"
     },
     {
       "id": "ip-10-0-2-230.ec2.internal",
       "host": "ip-10-0-2-230.ec2.internal",
       "port": "21319",
       "protocol" : "https",
       "authsecret": "9055-27834-16487-27455-30409-7292"
     }]
     }
  3. Op knooppunt 1 van de Tableau Server-implementatie: voer de volgende opdrachten uit om de configuratie bij te werken:

    tsm stop
    tsm topology external-services gateway update -c tsig.json
    
    tsm start
  4. Op beide instanties van de onafhankelijke gateway: terwijl Tableau Server wordt gestart, start u het tsig-httpd-proces op beide instanties van de onafhankelijke gateway:

    sudo su - tableau-tsig
    systemctl --user restart tsig-httpd
    exit
  5. In AWS EC2>Target groups (Doelgroepen): werk de doelgroep bij met de EC2-instantie waarop de tweede onafhankelijke gateway-instantie wordt uitgevoerd.

    Selecteer de doelgroep die u zojuist hebt gemaakt en klik op het tabblad Doelen: 

    • Klik op Bewerken.
    • Selecteer de EC2-instantie van de tweede onafhankelijke gateway-computer en klik vervolgens op Toevoegen aan geregistreerd. Klik op Opslaan.

SSL configureren voor Postgres

U kunt optioneel SSL (TLS) configureren voor de Postgres-verbinding voor de externe opslagplaatsverbinding op Tableau Server.

Om certificaatbeheer en -implementatie te vereenvoudigen en als best practice voor de beveiliging, raden we aan om certificaten te gebruiken die zijn gegenereerd door een grote, vertrouwde externe certificeringsinstantie (CA). U kunt er ook voor kiezen om zelfondertekende certificaten te genereren of certificaten van een PKI voor TLS te gebruiken.

In deze procedure wordt beschreven hoe u OpenSSL kunt gebruiken om een zelfondertekend certificaat te genereren op de Postgres-host op een RHEL-achtige Linux-distributie in de voorbeeld-AWS-referentiearchitectuur.

Nadat u het SSL-certificaat hebt gegenereerd en ondertekend, moet u het CA-certificaat kopiëren naar de Tableau-host.

Op de host waarop Postgress draait:

  1. Genereer een root-certificeringsverificatiesleutel ofwel CA-sleutel (certificate authority):

    openssl genrsa -out pgsql-rootCAKey.pem 2048
  2. Maak het root-CA-certificaat:

    openssl req -x509 -sha256 -new -nodes -key pgsql-rootCAKey.pem -days 3650 -out pgsql-rootCACert.pem

    U wordt gevraagd waarden in te voeren voor de certificaatvelden. Bijvoorbeeld:

    Country Name (2 letter code) [XX]:US
    State or Province Name (full name) []:Washington
    Locality Name (eg, city) [Default City]:Seattle
    Organization Name (eg, company) [Default Company Ltd]:Tableau
    Organizational Unit Name (eg, section) []:Operations
    Common Name (eg, Postgres server's hostname) []:ip-10-0-1-189.us-west-1.compute.internal
    Email Address []:example@tableau.com				
  3. Maak het certificaat en de bijbehorende sleutel (server.csr en server.key in het onderstaande voorbeeld) voor de Postgres-computer. De onderwerpnaam voor het certificaat moet overeenkomen met de EC2-privé-DNS-naam van de Postgres-host. De onderwerpnaam wordt ingesteld met de -subj-optie met de notatie "/CN=<private DNS name>", bijvoorbeeld:

    openssl req -new -nodes -text -out server.csr -keyout server.key -subj "/CN=ip-10-0-1-189.us-west-1.compute.internal"
  4. Onderteken het nieuwe certificaat met het CA-certificaat dat u in stap 2 hebt gemaakt. Met de volgende opdracht wordt het certificaat ook weergegeven in crt-notatie:

    openssl x509 -req -in server.csr -days 3650 -CA pgsql-rootCACert.pem -CAkey pgsql-rootCAKey.pem -CAcreateserial -out server.crt
  5. Kopieer de crt- en key-bestanden naar het Postgres /var/lib/pgsql/13/data/-pad:

    sudo cp server.crt /var/lib/pgsql/13/data/
    sudo cp server.key /var/lib/pgsql/13/data/
  6. Schakel over op rootgebruiker:

    sudo su
  7. Stel machtigingen in voor de cer- en key-bestanden. Voer de volgende opdrachten uit:

    cd /var/lib/pgsql/13/data
    chown postgres.postgres server.crt
    chown postgres.postgres server.key
    chmod 0600 server.crt
    chmod 0600 server.key
  8. Werk het configuratiebestand pg_haba bij, /var/lib/pgsql/13/data/pg_hba.conf om md5-vertrouwen op te geven:

    Wijzig de bestaande verbindingsverklaringen van

    host all all 10.0.30.0/24 password en

    host all all 10.0.31.0/24 password

    naar

    host all all 10.0.30.0/24 md5 en

    host all all 10.0.31.0/24 md5.

  9. Werk het PostgreSQL-bestand bij, /var/lib/pgsql/13/data/postgresql.conf, door deze regel toe te voegen:

    ssl = on
  10. Verlaat de root-gebruikermodus:

    exit
  11. Start Postgres opnieuw:

    sudo systemctl restart postgresql-13

Optioneel: schakel certificaatvertrouwensvalidatie in op Tableau Server voor Postgres SSL

Als u de installatieprocedure in Deel 4 – Tableau Server installeren en configureren hebt gevolgd, wordt Tableau Server geconfigureerd met optionele SSL voor de Postgres-verbinding. Dit betekent dat de configuratie van SSL op Postgres (zoals hierboven beschreven) resulteert in een gecodeerde verbinding.

Als u certificaatvertrouwensvalidatie voor de verbinding wilt vereisen, moet u de volgende opdracht uitvoeren op Tableau Server om de Postgres-hostverbinding opnieuw te configureren:

tsm topology external-services repository replace-host -f <filename>.json -c CACert.pem

Waarbij <filename>.json het verbindingsbestand is dat beschreven wordt in Externe Postgres configureren en CACert.pem het CA-certificaatbestand voor het SSL/TLS-certificaat dat door Postgres wordt gebruikt.

Optioneel: SSL-connectiviteit verifiëren

Om de SSL-connectiviteit te verifiëren, moet u het volgende doen:

  • Installeer de Postgres-client op Tableau Server-knooppunt 1.
  • Kopieer het rootcertificaat dat u in de vorige procedure hebt gemaakt naar de Tableau-host.
  • Maak verbinding met de Postgres-server vanaf knooppunt 1

Postgres-client op knooppunt 1 installeren

Dit is een voorbeeld van hoe u Postgres versie 13.4 installeert. Installeer dezelfde versie als die u voor de externe opslagplaats gebruikt.

  1. Maak en bewerk op knooppunt 1 het bestand pgdg.repo in het pad/etc/yum.repos.d. Vul het bestand met de volgende configuratiegegevens.

    [pgdg13]
    name=PostgreSQL 13 for RHEL/CentOS 7 - x86_64
    baseurl=https://download.postgresql.org/pub/repos/yum/13/redhat/rhel-7-x86_64
    enabled=1
    gpgcheck=0
  2. Installeer de Postgres-client:

    sudo yum install postgresql13-13.4-1PGDG.rhel7.x86_64

Rootcertificaat naar knooppunt 1 kopiëren

Kopieer het CA-certificaat (pgsql-rootCACert.pem) naar de Tableau-host:

scp ec2-user@<private-DNS-name-of-Postgress-host>:/home/ec2-user/pgsql-rootCACert.pem /home/ec2-user

Verbinding maken met Postgres-host via SSL vanaf knooppunt 1

Voer de volgende opdracht uit vanaf knooppunt 1 en geef daarbij het IP-adres van de Postgres-serverhost en het root-CA-certificaat op:

psql "postgresql://postgres@<IP-address>:5432/postgres?sslmode=verify-ca&sslrootcert=pgsql-rootCACert.pem"

Bijvoorbeeld:

 psql "postgresql://postgres@10.0.1.189:5432/postgres?sslmode=verify-ca&sslrootcert=pgsql-rootCACert.pem"

Postgres vraagt u om het wachtwoord. Als het gelukt is om u aan te melden, zal de shell het volgende retourneren:

psql (13.4)
SSL connection (protocol: TLSv1.2, cipher: ECDHE-RSA-AES256-GCM-SHA384, bits: 256, compression: off)
Type "help" for help.
postgres=#

SMTP- en gebeurtenismeldingen configureren

Tableau Server stuurt e-mailmeldingen naar beheerders en gebruikers. Om dit mogelijk te maken, moet u Tableau Server configureren om e-mail naar uw e-mailserver te sturen. U moet ook de gebeurtenistypen, drempelwaarden en abonnementsgegevens opgeven die u wilt verzenden.

Voor de initiële configuratie van SMTP en meldingen raden we u aan de onderstaande configuratiebestandsjabloon te gebruiken om een JSON-bestand te maken. U kunt ook een willekeurige configuratiesleutel instellen die hieronder wordt vermeld met de syntaxis die wordt beschreven in tsm configuration set (Linux(Link wordt in een nieuw venster geopend)).

Voer deze procedure uit op knooppunt 1 in uw Tableau Server-implementatie:

  1. Kopieer de volgende JSON-sjabloon naar een bestand. Pas het bestand aan met uw SMTP-configuratieopties en de abonnements- en waarschuwingsmeldingen voor uw organisatie.

    {
    "configKeys": {
    	"svcmonitor.notification.smtp.server": "SMTP server host name",
    	"svcmonitor.notification.smtp.send_account": "SMTP user name",
    	"svcmonitor.notification.smtp.port": 443,
    	"svcmonitor.notification.smtp.password": "SMTP user account password",
    	"svcmonitor.notification.smtp.ssl_enabled": true,
    	"svcmonitor.notification.smtp.from_address": "From email address",
    	"svcmonitor.notification.smtp.target_addresses": "To email address1,address2",
    	"svcmonitor.notification.smtp.canonical_url": "Tableau Server URL",
    	"backgrounder.notifications_enabled": true,
    	"subscriptions.enabled": true,
    	"subscriptions.attachments_enabled": true,
    	"subscriptions.max_attachment_size_megabytes": 150,
    	"svcmonitor.notification.smtp.enabled": true,
    	"features.DesktopReporting": true,
    	"storage.monitoring.email_enabled": true,
    	"storage.monitoring.warning_percent": 20,
    	"storage.monitoring.critical_percent": 15,
    	"storage.monitoring.email_interval_min": 25,
    	"storage.monitoring.record_history_enabled": true
    	}
    }
  2. Voer tsm settings import -f file.json uit om het JSON-bestand door te geven aan Tableau Services Manager.

  3. Voer de opdracht tsm pending-changes apply uit om de wijzigingen toe te passen.

  4. Voer de opdracht tsm email test-smtp-connection uit om de verbindingsconfiguratie te bekijken en te verifiëren.

PostgreSQL-stuurprogramma installeren

Om beheerdersweergaven op Tableau Server te bekijken, moet de PostgreSQL-driver op knooppunt 1 van de Tableau Server-implementatie zijn geïnstalleerd.

  1. Ga naar de pagina Tableau-stuurprogramma downloaden(Link wordt in een nieuw venster geopend) en kopieer de URL voor het PostgreSQL-jarbestand.

  2. Voer de volgende procedure uit op elk knooppunt van de Tableau-implementatie:

    • Maak het volgende bestandspad:

      sudo mkdir -p /opt/tableau/tableau_driver/jdbc

    • Download de nieuwste versie van het PostgreSQL-jarbestand via het nieuwe pad. Bijvoorbeeld:

      sudo wget https://downloads.tableau.com/drivers/linux/postgresql/postgresql-42.2.22.jar

  3. Start Tableau Server opnieuw op het initiële knooppunt:

    tsm restart

Sterk wachtwoordbeleid configureren

Als u Tableau Server niet implementeert met een IdP-verificatieoplossing, raden wij u aan het standaardwachtwoordbeleid van Tableau aan te scherpen.

Als u Tableau Server implementeert met een IdP, moet u het wachtwoordbeleid beheren met de IdP.

De volgende procedure bevat JSON-configuratie voor het instellen van wachtwoordbeleid op Tableau Server. Zie Lokale verificatie (Linux(Link wordt in een nieuw venster geopend)) voor meer informatie over de onderstaande opties.

  1. Kopieer de volgende JSON-sjabloon naar een bestand. Vul de sleutelwaarden in met de configuratie van uw wachtwoordbeleid.

    {
     "configKeys": {
    	"wgserver.localauth.policies.mustcontainletters.enabled": true,
    	"wgserver.localauth.policies.mustcontainuppercase.enabled": true,
    	"wgserver.localauth.policies.mustcontainnumbers.enabled": true,
    	"wgserver.localauth.policies.mustcontainsymbols.enabled": true,
    	"wgserver.localauth.policies.minimumpasswordlength.enabled": true,
    	"wgserver.localauth.policies.minimumpasswordlength.value": 12,
    	"wgserver.localauth.policies.maximumpasswordlength.enabled": false,
    	"wgserver.localauth.policies.maximumpasswordlength.value": 255,
    	"wgserver.localauth.passwordexpiration.enabled": true,
    	"wgserver.localauth.passwordexpiration.days": 90,
    	"wgserver.localauth.ratelimiting.maxbackoff.minutes": 60,
    	"wgserver.localauth.ratelimiting.maxattempts.enabled": false,
    	"wgserver.localauth.ratelimiting.maxattempts.value": 5,
    	"vizportal.password_reset": true	
     }
    }
  2. Voer tsm settings import -f file.json uit om het JSON-bestand door te geven aan Tableau Services Manager om Tableau Server te configureren.

  3. Voer de opdracht tsm pending-changes apply uit om de wijzigingen toe te passen.

Bedankt voor uw feedback.De feedback is verzonden. Dank u wel.