Konfigurieren des verschlüsselten Kanals für den externen LDAP-Identitätsspeicher

Tableau Server, das für die Herstellung einer Verbindung mit einem externen LDAP-Identitätsspeicher konfiguriert ist, muss das LDAP-Verzeichnis abfragen und eine Sitzung einrichten. Der Prozess zum Einrichten einer Sitzung wird als Bindung bezeichnet. Es gibt unterschiedliche Möglichkeiten zur Bindung. Tableau Server unterstützt zwei Methoden zum Binden mit einem LDAP-Verzeichnis:

  • Einfache Bindung: Hierbei wird per Authentifizierung mit einem Benutzernamen und einem Kennwort eine Sitzung eingerichtet. Standardmäßig versucht Tableau Server bei der Verbindung mit Windows Active Directory, Sitzungen mit StartTLS zu verschlüsseln. Wenn Tableau Server über ein gültiges TLS-Zertifikat verfügt, wird die Sitzung verschlüsselt. Standardmäßig wird LDAP mit einer einfachen Bindung nicht verschlüsselt. Wenn Sie LDAP mit einer einfachen Bindung konfigurieren, wird dringend empfohlen, "LDAP über SSL/TLS" zu aktivieren.

  • GSSAPI-Bindung: GSSAPI verwendet Kerberos zur Authentifizierung. Bei der Konfiguration mit einer Keytab-Datei ist die Authentifizierung während der GSSAPI-Bindung sicher. Der nachfolgende Datenverkehr zum LDAP-Server wird jedoch nicht verschlüsselt. Es wird empfohlen, "LDAP über SSL/TLS" zu konfigurieren. Wichtig: StartTLS wird für die GSSAPI-Bindung mit Active Directory nicht unterstützt.

    Wenn Sie Tableau Server unter Linux ausführen und der Computer mit einer Active Directory-Domäne verknüpft wurde, können Sie GSSAPI konfigurieren. Siehe LDAP mit GSSAPI-Bindung (Kerberos)

In diesem Thema wird beschrieben, wie Sie den Kanal für die einfache LDAP-Bindung für die Kommunikation zwischen Tableau Server und LDAP-Verzeichnisservern verschlüsseln.

Zertifikatsanforderungen

  • Sie müssen über ein gültiges, PEM-codiertes x509-SSL/TLS-Zertifikat verfügen, das für die Verschlüsselung verwendet werden kann. Die Zertifikatdatei muss die Erweiterung ".crt" haben.

  • Selbstsignierte Zertifikate werden nicht unterstützt.

  • Das von Ihnen installierte Zertifikat muss Key Encipherment im Schlüsselverwendungsfeld enthalten, das für SSL/TLS verwendet werden soll. Tableau Server verwendet dieses Zertifikat nur zum Verschlüsseln des Kanals an den LDAP-Server. Das Ablaufdatum, die Vertrauensstellung und die CRL sowie andere Attribute werden nicht validiert.

  • Wenn Sie Tableau Server in einer verteilten Bereitstellung ausführen, müssen Sie das SSL-Zertifikat manuell auf jeden Knoten im Cluster kopieren. Kopieren Sie das Zertifikat nur auf die Knoten, auf denen der Tableau Server Application Server-Prozess konfiguriert ist. Im Gegensatz zu anderen freigegebenen Dateien in einer Cluster-Umgebung wird das für LDAP verwendete SSL-Zertifikat nicht automatisch vom Clientdateidienst verteilt.

  • Wenn Sie ein PKI- oder Nicht-Drittanbieter-Zertifikat verwenden, laden Sie das Stammzertifikat der Zertifizierungstelle in den Java-Vertrauensspeicher hoch.

Importieren von Zertifikaten in den Tableau-Schlüsselspeicher

Wenn Sie noch keine Zertifikate auf Ihrem Computer gespeichert haben, die für den LDAP-Server konfiguriert sind, benötigen Sie ein SSL-Zertifikat für den LDAP-Server, das Sie in den Schlüsselspeicher des Tableau-Systems importieren müssen.

Verwenden Sie das Java-Tool "keytool" zum Importieren von Zertifikaten. Bei einer Standardinstallation wird dieses Tool zusammen mit Tableau Server an folgendem Speicherort installiert:

/opt/tableau/tableau_server/packages/repository.<installer version>/jre/bin/keytool.

Der folgende Befehl importiert das Zertifikat:

sudo "<installation_directory>/packages/repository*/jre/bin/keytool -importcert -file "<cert_directory/<cert_name.crt>" -alias "<cert_alias>" -keystore /etc/opt/tableau/tableau_server/tableauservicesmanagerca.jks -storepass changeit -noprompt

Das Kennwort für den Java-Schlüsselspeicher lautet changeit. (Ändern Sie das Kennwort für den Java-Schlüsselspeicher nicht).

Verschlüsselungsmethoden

Tableau Server 2021.1 und neuere Versionen unterstützen zwei Methoden zum Verschlüsseln des LDAP-Kanals für einfache Bindungen: StartTLS und LDAPS.

  • StartTLS: Dies ist die Standardkonfiguration für die Kommunikation mit Active Directory in Tableau Server 2021.2. Ab Tableau Server 2021.2 wird TLS für einfache LDAP-Verbindungen zu Active Directory erzwungen. Diese Standard-TLS-Konfiguration wird sowohl für Neuinstallationen als auch in Upgrade-Szenarien erzwungen.

    Hinweis: StartTLS wird auf Tableau Server unter Linux nur bei der Kommunikation mit Active Directory und Simple Bind unterstützt. StartTLS wird nicht für die Kommunikation mit anderen LDAP-Servertypen oder mit GSSAPI unterstützt.

    Bei der StartTLS-Methode wird eine unsichere Verbindung mit dem Active Directory-Server hergestellt. Nach einer Client-Server-Aushandlung wird die Verbindung auf eine TLS-verschlüsselte Verbindung aktualisiert. Als Standardkonfiguration erfordert dieses Szenario nur ein gültiges TLS-Zertifikat auf dem Tableau Server. Es ist keine weitere Konfiguration erforderlich.

  • LDAPS: Secure LDAP oder LDAPS ist ein verschlüsselter Standardkanal, der eine umfassendere Konfiguration erfordert. Zusätzlich zu einem TLS-Zertifikat für Tableau Server müssen Sie insbesondere den Hostnamen und den sicheren LDAP-Port für den LDAP-Zielserver festlegen.

    LDAPS wird auf beliebigen LDAP-Servern, einschließlich Active Directory-Servern, unterstützt.

Konfigurieren eines verschlüsselten Kanals für einfache Bindung

In diesem Abschnitt wird beschrieben, wie Tableau Server so konfiguriert wird, dass ein verschlüsselter Kanal für eine einfache LDAP-Bindung verwendet wird.

Hinweise zur Konfiguration

Sie müssen Tableau Server so konfigurieren, dass ein verschlüsselter Kanal für eine einfache LDAP-Bindung verwendet wird, bevor Tableau Server initialisiert wird. Oder als Teil der Konfiguration des anfänglichen Knotens, wie auf der Registerkarte "Verwenden der TSM-Befehlszeile" in Konfigurieren der Einstellungen für den ursprünglichen Knoten beschrieben.

Bei Neuinstallationen von Tableau Server

Wenn Ihre Organisation ein anderes LDAP-Verzeichnis als Active Directory verwendet, können Sie die TSM-GUI-Einrichtung nicht verwenden, um den Identitätsspeicher als Teil der Tableau Server-Installation zu konfigurieren. Stattdessen müssen Sie JSON-Entitätsdateien verwenden, um den LDAP-Identitätsspeicher zu konfigurieren. Informationen finden Sie unter identityStore-Entität.

Bevor Sie die identityStore-Entität konfigurieren, importieren Sie ein gültiges SSL/TLS-Zertifikat in den Tableau-Schlüsselspeicher, wie zuvor in diesem Thema dokumentiert.

Zum Konfigurieren von LDAPS müssen die Hostnamen- und sslPort-Optionen in der identityStore-JSON-Datei festgelegt werden.

Bei Neuinstallationen in einer Active Directory-Umgebung

Wenn Sie Active Directory als externen Identitätsspeicher verwenden, müssen Sie die GUI-Version der Tableau Server-Einrichtung ausführen. Im Gegensatz zum CLI-Prozess zum Installieren von Tableau Server enthält die GUI-Version der Einrichtung eine Logik zur Vereinfachung und Validierung der Active Directory-Konfiguration.

Die GUI zur Einrichtung von Tableau Server, in der Sie Active Directory konfigurieren, wird hier angezeigt.

Wenn Sie eine neue Instanz von Tableau Server unter Linux installieren und im Tableau-Schlüsselspeicher ein gültiges SSL/TLS-Zertifikat installiert ist, empfehlen wir Ihnen, die Standardoption auf StartTLS eingestellt zu lassen.

Wenn Sie für LDAPS konfigurieren möchten, geben Sie den Hostnamen und den sicheren Port (normalerweise 636) für den LDAP-Server ein, bevor Sie die Option LDAPS auswählen.

Sie können nach der Installation Änderungen an diesen Konfigurationen vornehmen, indem Sie sich bei der TSM-Web-Benutzeroberfläche anmelden, auf die Registerkarte Konfiguration, Benutzeridentität & Zugriff und dann auf Identitätsspeicherklicken.

Upgrade-Szenarien

Wenn Sie auf eine Version 2021.2 (oder neuer) von Tableau Server aktualisieren und Active Directory als externen Identitätsspeicher verwenden, wird der verschlüsselte Kanal für einfache LDAP-Bind-Verbindungen erzwungen. Falls kein verschlüsselter Kanal konfiguriert ist, schlägt das Upgrade fehl.

Um ein erfolgreiches Upgrade auf Version 2021.2 oder neuer durchzuführen, muss eine der folgenden Bedingungen erfüllt sein:

  • Die vorhandene Tableau Server-Installation wurde bereits für LDAPS konfiguriert und enthält ein Zertifikat im Tableau-Schlüsselspeicher.
  • Vor dem Upgrade ist ein gültiges SSL/TLS-Zertifikat im Tableau-Schlüsselspeicher vorhanden. Bei diesem Szenario wird mit der Standard-StartTLS-Konfiguration ein verschlüsselter Kanal aktiviert.
  • Der verschlüsselte LDAP-Kanal wurde, wie im folgenden Abschnitt beschrieben, deaktiviert.

Deaktivieren des standardmäßig verschlüsselten LDAP-Kanals

Wenn Sie Tableau Server unter Linux ausführen und eine Verbindung zu Active Directory herstellen, können Sie die Anforderung für verschlüsselte Kanäle deaktivieren.

Wenn deaktiviert, werden Benutzeranmeldeinformationen, die zum Einrichten der Bindungssitzung mit dem Active Directory verwendet werden, werden im Klartext zwischen Tableau Server und dem Active Directory-Server übermittelt.

Deaktivieren der Neuinstallation

Wenn Sie Active Directory als Identitätsspeicher verwenden, müssen Sie die TSM-GUI verwenden, um die Active Directory-Verbindung zu konfigurieren. Weitere Informationen finden Sie unter Konfigurieren der Einstellungen für den ursprünglichen Knoten.

Wählen Sie LDAP (unverschlüsselter Kanal), wenn Sie das Setup ausführen.

Vor dem Upgrade deaktivieren

Wenn Sie von einer früheren Version auf Tableau Server 2021.2 (oder neuer) aktualisieren, führen Sie vor dem Upgrade die folgenden Befehle für frühere Versionen von Tableau Server aus:

tsm configuration set -k wgserver.domain.ldap.starttls.enabled -v false --force-keys
tsm pending-changes apply

Um zu überprüfen, ob der Schlüssel festgelegt wurde, führen Sie den folgenden Befehl aus:

tsm configuration get -k wgserver.domain.ldap.starttls.enabled

Der Befehl sollte false zurückgeben.

Fehlermeldungen

Die folgenden Fehlermeldungen werden möglicherweise angezeigt oder protokolliert. Wenn diese Fehler angezeigt werden, gehen Sie wie folgt vor:

  • Stellen Sie sicher, dass Ihr Zertifikat gültig ist und in den Tableau-Schlüsselspeicher importiert wird, wie zuvor in diesem Thema beschrieben.
  • (nur LDAPS) – Stellen Sie sicher, dass der Host- und Portname korrekt ist.

In der GUI für die Einrichtung

Der folgende Fehler wird angezeigt, wenn Sie LDAPS oder StartTLS beim Ausführen der Einrichtungs- oder Upgrade-GUI falsch konfiguriert haben.

TLS handshake failed. Tableau Server and the Active Directory server could not negotiate a compatible level of security.

Vizportal-Protokolle

Wenn Sie LDAPS oder StartTLS per CLI konfigurieren, wird die folgende Fehlermeldung nicht angezeigt. Stattdessen wird der Fehler in den vizportal-Protokollen unter /var/opt/tableau/tableau_server/data/tabsvc/logs/vizportal protokolliert.

Authentication with LDAP server failed. The provided credentials or configuration are either incorrect or do not have the necessary permissions to bind.
Vielen Dank für Ihr Feedback!Ihr Feedback wurde erfolgreich übermittelt. Vielen Dank.