Konfigurieren von Postgres-SSL zum Erlauben direkter Verbindungen von Clients
Wenn Tableau Server so konfiguriert ist, dass SSL für die interne Kommunikation mit dem Postgres-Repository verwendet wird, können Sie auch einstellen, dass Tableau-Clients und externe Postgres-Clients, die sich direkt mit dem Repository verbinden, die Identität des Tableau-Postgres-Repositorys überprüfen, indem sie das von der internen Postgres-Instanz vorgelegte SSL-Zertifikat mit dem an den Tableau- oder externen Postgres-Client ausgegebenen Zertifikat vergleichen.
Zu den direkten Verbindungen zählen die unter Verwendung des Benutzers tableau oder des Benutzers readonly. Beispiele für Tableau-Clients sind Tableau Desktop, Tableau Mobile, die REST API und Webbrowser.
Aktivieren Sie internes SSL für das Repository, indem Sie die folgenden Befehle ausführen:
tsm security repository-ssl enable
tsm pending-changes apply
Dies ermöglicht die interne SSL-Unterstützung und generiert neue Serverzertifikat- und Schlüsseldateien und fordert von allen Tableau-Clients die Nutzung von SSL zum Herstellen einer Verbindung mit dem Repository. Zusätzliche Repository-SSL-Befehle und -Optionen finden Sie unter tsm security.
Wenn die ausstehenden Änderungen einen Neustart des Servers erfordern, zeigt der Befehl
pending-changes apply
eine Meldung an, um Sie darüber zu informieren, dass ein Neustart stattfinden wird. Diese Meldung wird auch angezeigt, wenn der Server angehalten ist. In diesem Fall erfolgt jedoch kein Neustart. Sie können diese Meldung mithilfe der Option--ignore-prompt
unterdrücken, dies ändert jedoch nichts an dem Neustartverhalten. Wenn die Änderungen keinen Neustart erfordern, werden die Änderungen ohne Meldung angewendet. Weitere Informationen finden Sie unter tsm pending-changes apply.(Optional) Wenn Sie Ihren Clientcomputer für die Überprüfung von Postgres SSL-Verbindungen konfiguriert haben, müssen Sie das von Tableau Server generierte Zertifikat auf die Computer importieren, auf denen Tableau Desktop ausgeführt wird. Gehen Sie für alle Client-Computer, die eine direkte Verbindung mit dem Repository herstellen, wie folgt vor:
Kopieren Sie die Datei server.crt auf den Client-Computer. Sie finden diese Datei im folgenden Verzeichnis:
/var/opt/tableau/tableau_server/data/tabsvc/config/pgsql_<version_code>/security
Hinweis: Kopieren Sie server.key nicht auf den Clientcomputer. Diese Datei sollte sich nur auf dem Server befinden.
Importieren Sie das Zertifikat in den Zertifikatsspeicher des Computers.
Konsultieren Sie die Dokumentation des Betriebssystemherstellers, um entsprechende Informationen zu erhalten.
(Optional) Konfigurieren Sie alle externen (nicht-Tableau) Postgres-Clients (z. B. PgAdmin oder Dbeaver), um die Identität des Postgres-Repositorys von Tableau Server zu überprüfen. Führen Sie dies im postgresql JDBC-Treiber aus, den der Client zum Herstellen einer Verbindung verwendet, indem Sie die "sslmode"-Anweisung auf "verify-ca" oder "verify-full" setzen. Die verfügbaren Optionen können je nach Version des verwendeten Postgres-Treibers unterschiedlich sein. Weitere Informationen finden Sie in der Treiberdokumentation zum SSL-Support.