Configurar el SSL para la comunicación interna de Postgres

Puede configurar Tableau Server para que use SSL (TLS) para las comunicaciones cifradas entre el repositorio de PostgreSQL y otros componentes de servidor. De forma predeterminada, las comunicaciones internas con los componentes de Tableau Server no están cifradas.

Al habilitar la compatibilidad con la SSL interna, también puede configurar la compatibilidad con las conexiones directas con el repositorio desde clientes de Tableau, como Tableau Desktop, Tableau Mobile, la API de REST o los navegadores web.

  1. Como administrador de servidor, abra TSM en un navegador:

    https://<nombre-equipo-tsm>:8850

    Para obtener más información, consulte Iniciar sesión en la interfaz de usuario web de Tableau Services Manager.

  2. En la pestaña Configuración, seleccione Seguridad > SSL del repositorio.

    Captura de pantalla de la configuración del SSL del repositorio de TSM

  3. Seleccione una de las opciones para utilizar el SSL del repositorio.

    • Necesario para todas las conexiones: utiliza SSL para las comunicaciones internas de Tableau Server y requiere el SSL para los clientes de Tableau y cualquier cliente externo (que no sea de Tableau) que se conectan directamente al repositorio de Postgres, incluidos los que utilizan el usuario tableau o readonly.

      Importante: A menos que complete los pasos descritos en Configurar la SSL de Postgres para permitir las conexiones directas desde los clientes, para colocar los archivos de certificado en la ubicación correcta en los equipos cliente, los clientes de Tableau y los clientes de Postgres externos no podrán validar la identidad del repositorio de Tableau comparando certificados en los equipos cliente con el certificado SSL desde el equipo del repositorio.

    • Opcional para conexiones de usuario: cuando se activa, Tableau utiliza el SSL para las comunicaciones internas de Tableau Server y admite (pero no requiere) el SSL para las conexiones directas con el servidor desde los clientes de Tableau y los clientes externos.

    • Desconectado para todas las conexiones (opción predeterminada): la comunicación interna del servidor no se cifra y no se requiere el SSL para las conexiones directas desde los clientes.

  4. Haga clic en Aceptar.

    Con las dos primeras opciones se generan los archivos de certificado del servidor, server.crt y server.key, y se colocan en la siguiente ubicación.

    /var/opt/tableau/tableau_server/data/tabsvc/config/pgsql_<version>/security

    Utilice este archivo .crt si necesita configurar clientes para conexiones directas.

Para habilitar SSL para el tráfico interno entre los componentes de servidor, ejecute los comandos siguientes:

tsm security repository-ssl enable

tsm pending-changes apply

Función del comando

repository-ssl enable genera los archivos de certificado del servidor, que coloca en la siguiente ubicación:

/var/opt/tableau/tableau_server/data/tabsvc/config/pgsql_<version>/security

De forma predeterminada, este comando configura Tableau Server para requerir el SSL para el tráfico entre el repositorio y otros componentes del servidor, así como para las conexiones directas desde clientes de Tableau (incluido para las conexiones establecidas con los usuarios tableau o readonly).

Para completar la configuración también debe seguir los pasos descritos en Configurar la SSL de Postgres para permitir las conexiones directas desde los clientes para colocar los archivos de certificado en la ubicación correcta de los equipos del cliente.

Si los cambios pendientes requieren un reinicio del servidor, el comando pending-changes apply mostrará un mensaje para informarle de que se producirá un reinicio. Este mensaje aparece aunque el servidor esté detenido, pero en ese caso no se reiniciará. Puede suprimir el mensaje con la opción --ignore-prompt, pero no se modificará el comportamiento de reinicio. Si los cambios no requieren un reinicio, se aplicarán sin ningún mensaje. Para obtener más información, consulte tsm pending-changes apply.

Opción para repository-ssl enable

Si solo quiere requerir el SSL para las comunicaciones internas de Tableau Server, y no para las conexiones directas desde las aplicaciones de los clientes, utilice la siguiente opción con el comando repository-ssl enable:

--internal-only

Entornos de clúster

Si ejecuta repository-ssl enable en un nodo de un clúster, copiará el archivo de certificado necesario en la misma ubicación del resto de los nodos.

Para obtener más información sobre cómo descargar el certificado público para las conexiones directas, consulte Configurar la SSL de Postgres para permitir las conexiones directas desde los clientes.

¡Gracias por sus comentarios!Sus comentarios se han enviado correctamente. ¡Gracias!