mutualSSLSettings-Entität
Lesen Sie vor der Konfiguration von gegenseitigem SSL den Abschnitt Konfigurieren von SSL für den externen HTTP-Verkehr von und an Tableau Server.
Die mutualSSLSettings
-Entität kombiniert die Konfiguration von SSL und gegenseitigem SSL. Für eine gegenseitige SSL-Authentifizierung ist es erforderlich, dass die Option für externes SSL aktiviert und korrekt konfiguriert wurde.
Für die TSM -Entitäten werden JSON- und Schlüssel-Wert-Paare verwendet. Verwenden Sie die nachfolgende Konfigurationsdateivorlage zum Erstellen einer .json-Datei. Stellen Sie Werte für die entsprechenden Schlüssel für Ihre Umgebung bereit, und übergeben Sie dann die JSON-Datei mithilfe der folgenden Befehle an Tableau Server:
tsm settings import -f <path-to-file.json>
tsm pending-changes apply
Wenn die ausstehenden Änderungen einen Neustart des Servers erfordern, zeigt der Befehl pending-changes apply
eine Meldung an, um Sie darüber zu informieren, dass ein Neustart stattfinden wird. Diese Meldung wird auch angezeigt, wenn der Server angehalten ist. In diesem Fall erfolgt jedoch kein Neustart. Sie können diese Meldung mithilfe der Option --ignore-prompt
unterdrücken, dies ändert jedoch nichts an dem Neustartverhalten. Wenn die Änderungen keinen Neustart erfordern, werden die Änderungen ohne Meldung angewendet. Weitere Informationen finden Sie unter tsm pending-changes apply.
Konfigurationsvorlage
Verwenden Sie diese Vorlage zum Konfigurieren der Einstellungen für die gegenseitige SSL-Authentifizierung.
Wichtig: Bei allen Entitätsoptionen wird zwischen Groß- und Kleinschreibung unterschieden.
Weitere Einzelheiten zu Konfigurationsdateien, Entitäten und Schlüsseln finden Sie im Abschnitt Beispiel für eine Konfigurationsdatei.
{ "configEntities": { "mutualSSLSettings": { "_type": "mutualSSLSettingsType", "sslEnabled": true, "proxyLogin": false, "clientCertRequired": true, "caCertFile": "required", "keyFileName": "required", "keyPassphrase": "", "chainFile": "", "revocationFile": "", "redirect": false, "fallbackToPassword": true, "protocols": "", "cipherSuite": "", "forceHttpsForPublicEmbed": false } } }
Referenz für die Konfigurationsdatei
- sslEnabled
Aktiviert SSL. Dies ist eine Voraussetzung zur Aktivierung der gegenseitigen SSL-Authentifizierung.
clientCertRequired (MutualSSL)
Setzen Sie den Wert auf "true" (wahr), um die gegenseitige SSL-Authentifizierung zu aktivieren. Zum Deaktivieren setzen Sie den Wert auf "false" (falsch).
- caCertFile (MutualSSL)
Erforderlich.
Geben Sie die von einer Zertifizierungsstelle ausgestellte Zertifikatsdatei für die bidirektionale SSL-Authentifizierung an. Der Dateipfad muss von Tableau Server lesbar sein.
certFileName
Geben Sie die Datei an, die die Verknüpfung von PEM-codierten, von einer Zertifikatsstelle ausgestellten Zertifikate enthält, die eine Zertifikatskette für das Serverzertifikat bilden.
Alternativ kann die Datei, auf die verwiesen wird, dieselbe Datei sein, die für caCertFile festgelegt ist, wenn die von einer Zertifikatsstelle ausgestellten Zertifikate der Einfachheit halber direkt an das Serverzertifikat angehängt werden.
keyFileName
Wenn der Schlüssel nicht mit dem Zertifikat verknüpft ist, verwenden Sie diesen Konfigurationsschlüssel, um auf die Schlüsseldatei zu verweisen. Falls Sie über einen RSA- und einen privaten DSA-Schlüssel verfügen, können Sie diese parallel konfigurieren (zum Beispiel, um auch die Verwendung von DSA-Ciphers zu gestatten).
keyPassphrase
Optional. Passphrase für die Zertifikatdatei. Die von Ihnen eingegebene Passphrase wird im Ruhezustand verschlüsselt.
Hinweis: Wenn Sie eine Zertifikatschlüsseldatei mit einer Passphrase erstellen, können Sie den SSL-Zertifikatschlüssel nicht für SAML erneut verwenden.
revocationFile
Gibt den Dateipfad für eine SSL CA-Zertifikatsperrlistendatei (.crl) an.
Redirect
Standardwert: true (wahr). Legt fest, ob Tableau Server http-Anforderungen als https-Anforderungen zum entsprechenden Endpunkt weiterleiten soll.
clientCertMapping (MutualSSL)
Gibt die Methode für das Abrufen des Benutzernamens aus dem Zertifikat an.
Akzeptierte Werte:
ldap
,upn
,cn
Für einen Server, der die lokale Authentifizierung verwendet, ist die Standardeinstellung
upn
(User Principal Name).Wenn als Tableau Server-Authentifizierung Active Directory (AD) konfiguriert ist, lautet die Standardeinstellung
ldap
(Lightweight Directory Access Protocol). Dieses teilt dem Server mit, zu AD zu wechseln, um den Benutzer zu validieren. Die Namen innerhalb des Zertifikats werden ignoriert.
Sie können
cn
für jeden Authentifizierungstyp festlegen, um den CN im Subject DN des Zertifikats zu verwenden.Weitere Informationen finden Sie unter Zuordnen eines Clientzertifikats zu einem Benutzer während der gegenseitigen Authentifizierung.
fallbackToPassword (MutualSSL)
Setzen Sie diesen Wert auf "true" (wahr), um Benutzern die Möglichkeit zu bieten, sich mit ihrem Benutzernamen und ihrem Kennwort bei Tableau Server anzumelden, wenn die gegenseitige SSL-Authentifizierung fehlschlägt. Setzen Sie diesen Wert auf "false", wenn Sie diese Fallback-Option deaktivieren wollen.
protocols
Listet die Transport Layer Security (TLS)-Protokollversionen auf, die Sie zulassen oder verweigern möchten.
Standardwert:
"all -SSLv2 -SSLv3"
Es wird jedoch empfohlen, die folgende Einstellung zu verwenden:
"all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1"
Weitere Informationen finden Sie unter tsm security external-ssl enable. Allgemeine Informationen sind der Online-Dokumentation zu Apache zu entnehmen.
cipherSuite
Listet die Ciphers, die für SSL zugelassen oder nicht zugelassen sind.
Standardwert:
"HIGH:MEDIUM:!aNULL:!MD5:!RC4:!3DES:!CAMELLIA:!IDEA:!SEED"
Weitere Informationen zum Format der Liste der Verschlüsselungen finden Sie auf der Seite OpenSSL-Verschlüsselungen(Link wird in neuem Fenster geöffnet) . Seien Sie vorsichtig, wenn Sie diese Option ändern. Die Standardwerte verbieten Verschlüsselungen, die nicht mehr als ausreichend sicher gelten.
proxyLogin
Standardwert: false (falsch). Gibt an, dass Tableau Server einen Proxy für SSL nur bei der Anmeldung verwendet. Der Wert steuert das Protokoll, das der Server an Tableau Desktop für Anmelde-APIs sendet.
forceHTTPForPublicEmbed
Der Standardwert lautet "false" (falsch). Veranlasst den Code für eingebettete Ansichten, SSL zu verwenden.