Ayuda de Tableau Server en Linux

El controlador de administración de Tableau Server (también conocido como controlador) es el componente de administración para los cambios de administración en el clúster de Tableau Server. De forma predeterminada el controlador se ejecuta en el nodo inicial (primer nodo) de un clúster de Tableau Server. Aunque es técnicamente posible ejecutar varios controladores en una sola implementación de clúster de Tableau, esta no es una práctica recomendada.

El controlador incluye una API que pueden administrar varios clientes: CLI de TSM, cliente web de TSM, clientes de REST (curl, postman), etc. Con estos clientes, los administradores de Tableau Server pueden realizar cambios de configuración en el clúster de servidores. El controlador, junto con Zookeeper, administra y realiza los cambios de configuración en los nodos.

Nota: Como es costumbre, el término "SSL" se usa aquí cuando se hace referencia al uso de TLS para proteger el tráfico HTTPS.

De forma predeterminada, la conexión del cliente se cifra con SSL por medio de un certificado autofirmado que crea Tableau Server durante la instalación y que el controlador renueva. Además del cifrado, la identidad (nombre de host o IP) del equipo host del controlador se valida con el nombre del sujeto presentado en el certificado durante el protocolo de enlace SSL. Sin embargo, debido a que el certificado está autofirmado, la fiabilidad del certificado no es absoluta.

En el caso de la conexión de la CLI al controlador, la incapacidad de confiar absolutamente en el certificado no es un gran riesgo de seguridad, ya que un ataque de intermediario generalmente requeriría que un usuario malintencionado acceda al clúster de Tableau Server en una red privada. Si un usuario malintencionado puede suplantar el certificado del controlador en el escenario CLI, entonces el usuario malintencionado ya tiene "las llaves del reino".

Sin embargo, en el escenario en el que los administradores se conectan al controlador a través de la interfaz web de TSM desde fuera de la red interna, la falta de validación del host a través de una autoridad de certificación de confianza presenta un mayor riesgo de seguridad.

Hasta hace poco, los clientes que ejecutaban la interfaz de usuario web de TSM en un equipo con Windows podían colocar el certificado CA de Tableau Server en un almacén raíz de confianza de Windows. La mayoría de los navegadores validarían la confianza del certificado en virtud de esta configuración. Hoy, Chrome ya no valida (confía) los certificados autofirmados que se colocan en el almacén de confianza del sistema operativo. Ahora, Chrome (y la mayoría de los principales navegadores) solo confiarán en los certificados que se encadenen a una CA raíz de terceros de confianza.

La función de certificado TSM SSL personalizado cierra la brecha de confianza al permitir que los administradores configuren el controlador TSM con un certificado de identidad que se encadena con una CA raíz de terceros de confianza.

Hay una serie de detalles importantes que se deben comprender:

• La confianza para el certificado SSL personalizado de TSM se valida cuando se conecta con la interfaz de usuario web de TSM.
• No se intenta la validación de confianza para el escenario CLI de TSM. Como se describió anteriormente, un ataque de "intermediario" en el escenario CLI no presenta un riesgo creíble.
• La cadena de certificados se puede incluir en la configuración. La cadena podrá presentar todos los certificados firmados por CA intermedias. La cadena puede terminar en cualquier punto y se supone que cualquier certificado que falte en la cadena está instalado en el almacén de confianza del sistema operativo.

Debe utilizar la CLI de TSM para configurar (o actualizar) el certificado personalizado SSL para TSM.

Consulte tsm security custom-tsm-ssl enable.