Configurar un canal cifrado al almacén de identidades externo LDAP


Tableau Server que esté configurado para conectarse a un almacén de identidades externo LDAP debe consultar el directorio LDAP y establecer una sesión. El proceso de establecer una sesión se denomina enlace. Hay varias maneras de establecer un enlace. Tableau Server admite dos métodos de enlace a un directorio LDAP:

  • El enlace simple: establece una sesión al realizar la autenticación con un nombre de usuario y una contraseña. De forma predeterminada, Tableau Server intentará que StartTLS cifre las sesiones al conectarse a Active Directory para Windows. Si Tableau Server tiene un certificado TLS válido, la sesión se cifrará. De lo contrario, LDAP con enlace simple no está cifrado. Si está configurando LDAP con enlace simple, recomendamos encarecidamente que habilite LDAP sobre SSL/TLS.

  • Enlace GSSAPI: GSSAPI utiliza Kerberos para realizar la autenticación. Cuando se configura con un archivo keytab, la autenticación es segura durante el enlace GSSAPI. Sin embargo, el tráfico subsiguiente al servidor LDAP no se cifra. Recomendamos configurar LDAP a través de SSL/TLS. Importante: StartTLS no admite el enlace GSSAPI con Active Directory.

    Si ejecuta Tableau Server en Linux y el equipo está unido a un dominio de Active Directory, puede configurar GSSAPI. Consulte LDAP con enlace GSSAPI (Kerberos).

En este tema se describe cómo cifrar el canal para el enlace LDAP simple para las comunicaciones entre Tableau Server y los servidores de directorio LDAP.

Requisitos del certificado

  • Debe tener un certificado PEM con cifrado x509 SSL/TLS válido que se pueda utilizar para el cifrado. El archivo del certificado debe tener una extensión .crt.

  • No se admiten certificados autofirmados.

  • El certificado que instale debe incluir Key Encipherment en el campo de uso de claves que se utilizará para SSL/TLS. Tableau Server solo utilizará este certificado para cifrar el canal en el servidor LDAP. No se validan la caducidad, la confianza, la CRL ni otros atributos.

  • Si ejecuta Tableau Server en una implementación distribuida, debe copiar manualmente el certificado SSL en cada uno de los nodos del clúster. Copie el certificado solo en aquellos nodos en los que esté configurado el proceso Servidor de aplicaciones de Tableau Server. A diferencia de otros archivos compartidos en un entorno de clúster, el Servicio de archivo de cliente no distribuye automáticamente el certificado SSL utilizado para LDAP.

  • Si está utilizando una PKI o un certificado que no sea de un tercero, cargue el certificado raíz de CA en el almacén de confianza de Java.

Importación de certificados en el almacén de claves de Tableau

Si no tiene ningún certificado vigente en el equipo que estén configurados para el servidor LDAP, deberá obtener un certificado SSL para el servidor LDAP e importarlo al almacén de claves del sistema de Tableau.

Use la herramienta de Java "keytool" para importar certificados. En una instalación predeterminada, esta herramienta se instala con Tableau Server en la siguiente ubicación:

/opt/tableau/tableau_server/packages/repository.<installer version>/jre/bin/keytool.

El siguiente comando importa el certificado:

sudo "<installation_directory>/packages/repository*/jre/bin/keytool -importcert -file "<cert_directory/<cert_name.crt>" -alias "<cert_alias>" -keystore /etc/opt/tableau/tableau_server/tableauservicesmanagerca.jks -storepass changeit -noprompt

La contraseña del almacén de claves Java es changeit. (No cambie la contraseña del almacén de claves de Java).

Métodos de cifrado

Tableau Server 2021.1 y versiones posteriores admiten dos métodos para cifrar el canal LDAP para un enlace simple: StartTLS y LDAPS.

  • StartTLS: esta es la configuración predeterminada para comunicarse con Active Directory en Tableau Server 2021.2. A partir de Tableau Server 2021.2, TLS se aplica con conexiones LDAP de enlace simple a Active Directory. Esta configuración TLS predeterminada se aplica tanto para nuevas instalaciones como para escenarios de actualización.

    Nota: StartTLS solo se admite en Tableau Server en Linux cuando se realiza una comunicación con Active Directory y enlace simple. StartTLS no es compatible con la comunicación con otros tipos de servidor LDAP ni con GSSAPI.

    El método StartTLS funciona estableciendo una conexión no segura con el servidor de Active Directory. Después de una negociación cliente-servidor, la conexión se actualiza a una conexión cifrada TLS. Este escenario, al ser la configuración predeterminada, necesita un certificado TLS válido en Tableau Server. No se requiere ninguna otra configuración.

  • LDAPS: LDAP seguro, o LDAPS, es un canal cifrado estándar que requiere una configuración más compleja. En concreto, además de un certificado TLS en Tableau Server, debe establecer el nombre de host y el puerto LDAP seguro para el servidor LDAP de destino.

    LDAPS es compatible con cualquier servidor LDAP, incluidos los servidores de Active Directory.

Configuración del canal cifrado para un enlace simple

En esta sección se describe cómo configurar Tableau Server para que utilice un canal cifrado para el enlace simple LDAP.

Cuándo se debe configurar

Debe configurar Tableau Server para usar un canal encriptado para el enlace simple LDAP antes de que Tableau Server se inicialice o como parte de la configuración del nodo inicial como se menciona en la pestaña "Usar la CLI de TSM" en Configurar los ajustes de nodo iniciales.

Para instalaciones nuevas de Tableau Server

Si su organización utiliza un directorio LDAP que no es de Active Directory, no puede utilizar el programa de instalación de la interfaz de TSM para configurar el almacén de identidades como parte de la instalación de Tableau Server. En su lugar, debe utilizar archivos de entidad JSON para configurar el almacén de identidades LDAP. Consulte Entidad identityStore.

Antes de configurar la entidad identityStore, importe un certificado SSL/TLS válido en el almacén de claves de Tableau como se ha explicado anteriormente en este tema.

La configuración de LDAPS requiere establecer las opciones hostname y sslPort en el archivo JSON identityStore.

Para instalaciones nuevas en un entorno de Active Directory

Si utiliza Active Directory como almacén de identidades externo, debe ejecutar la versión de interfaz de usuario del programa de instalación de Tableau Server. A diferencia del proceso de la interfaz de línea de comandos para instalar Tableau Server, la versión de interfaz de usuario del programa de instalación incluye lógica para simplificar y validar la configuración de Active Directory.

Aquí se muestra la interfaz de usuario del programa de configuración de Tableau Server donde configura Active Directory.

Si va a instalar una nueva instancia de Tableau Server en Linux y tiene un certificado SSL/TLS válido instalado en el almacén de claves de Tableau, le recomendamos que establezca la opción predeterminada de StartTLS.

Si quiere realizar la configuración adecuada para el LDAPS, escriba el nombre de host y el puerto seguro (normalmente 636) para el servidor LDAP antes de seleccionar la opción del LDAPS.

Puede realizar cambios en la configuración después de la instalación con solo iniciar sesión en la interfaz de usuario web de TSM. Haga clic en la pestaña Configuración, seleccione Acceso e identidad de los usuarios y, a continuación, Almacén de identidades.

Escenarios de actualización

Si va a actualizar a una versión 2021.2 (o más reciente) de Tableau Server y usa Active Directory como su almacén de identidades externo, entonces el canal cifrado se aplica para las conexiones de enlace simple LDAP. Si no tiene un canal cifrado configurado, la actualización fallará.

Para actualizar correctamente a la versión 2021.2 o más reciente, se debe cumplir una de las siguientes condiciones:

  • La instalación de Tableau Server existente ya se configuró para LDAPS e incluye un certificado en el almacén de claves de Tableau.
  • Hay un certificado SSL/TLS válido en el almacén de claves de Tableau antes de la actualización. En este escenario, la configuración predeterminada de StartTLS habilitará un canal cifrado.
  • El canal LDAP cifrado se ha desactivado como se describe en la siguiente sección.

Deshabilitar el canal LDAP cifrado predeterminado

Si va a ejecutar Tableau Server en Linux y se conecta a Active Directory, puede deshabilitar el requisito de canal cifrado.

Cuando se deshabilita, las credenciales de usuario que se utilizan para establecer la sesión de enlace con Active Directory se comunican en texto sin formato entre Tableau Server y el servidor de Active Directory.

Deshabilitar nueva instalación

Si va a utilizar Active Directory como su almacén de identidades, debe utilizar la interfaz gráfica de TSM para configurar la conexión de Active Directory. Consulte Configurar los ajustes de nodo iniciales.

Seleccione LDAP (canal no cifrado) cuando ejecute la instalación.

Deshabilitar antes de actualizar

Si va a actualizar a Tableau Server 2021.2 (o más reciente) desde una versión anterior, ejecute los siguientes comandos en la versión anterior de Tableau Server antes de actualizar:

tsm configuration set -k wgserver.domain.ldap.starttls.enabled -v false --force-keys
tsm pending-changes apply

Para verificar que se haya configurado la clave, ejecute el siguiente comando:

tsm configuration get -k wgserver.domain.ldap.starttls.enabled

El comando debe devolver false.

Mensajes de error

Es posible que aparezcan o se registren los siguientes mensajes de error. Si ve estos errores, haga lo siguiente:

  • Compruebe que el certificado es válido y se ha importado al almacén de claves de Tableau como se describe anteriormente en este tema.
  • (Solo LDAPS): compruebe que el nombre del host y del puerto sean correctos.

En la interfaz de configuración

Se mostrará el siguiente error si ha configurado mal LDAPS o StartTLS al ejecutar la interfaz del programa de instalación o actualización.

TLS handshake failed. Tableau Server and the Active Directory server could not negotiate a compatible level of security.

Registros de Vizportal

Si está configurando LDAPS o StartTLS mediante la interfaz de línea de comandos, no aparecerá el siguiente mensaje de error. En su lugar, el error se registrará en los registros de Vizportal en /var/opt/tableau/tableau_server/data/tabsvc/logs/vizportal.

Authentication with LDAP server failed. The provided credentials or configuration are either incorrect or do not have the necessary permissions to bind.
Volver arriba
¡Gracias por sus comentarios!Sus comentarios se han enviado correctamente. ¡Gracias!