Configurer le réseau chiffré vers le magasin d’identités externe LDAP


Tableau Server qui est configuré pour se connecter à un magasin d’identités LDAP externe doit interroger l’annuaire LDAP et établir une session. Le processus d’établissement d’une session est appelé une liaison. Il existe de nombreuses façons d’établir une liaison. Tableau Server prend en charge deux méthodes de liaison à un annuaire LDAP :

  • Liaison simple : établit une session en utilisant l’authentification avec nom d’utilisateur et mot de passe. Par défaut, Tableau Server tentera de chiffrer les sessions StartTLS lors de la connexion à Windows Active Directory. Si Tableau Server dispose d’un certificat TLS valide, la session sera chiffrée. Par défaut, LDAP avec liaison simple n’est pas chiffré. Si vous configurez LDAP avec une liaison simple, nous vous recommandons vivement d’activer LDAP sur SSL/TLS.

  • Liaison GSSAPI : GSSAPI utilise Kerberos pour l’authentification. Lorsqu’il est configuré avec un fichier keytab, l’authentification est sécurisée pendant la liaison GSSAPI. Toutefois, le trafic ultérieur vers le serveur LDAP n’est pas chiffré. Nous vous recommandons de configurer LDAP sur SSL/TLS. Important : StartTLS n’est pas pris en charge pour la liaison GSSAPI avec Active Directory.

    Si vous exécutez Tableau Server sur Linux sur un ordinateur lié à un domaine Active Directory, vous pouvez configurer GSSAPI. Consultez LDAP avec liaison GSSAPI (Kerberos).

Ce sujet décrit comment chiffrer le réseau pour une liaison LDAP simple pour les communications entre Tableau Server et les serveurs d’annuaire LDAP.

Exigences en matière de certificat

  • Vous devez avoir un certificat SSL/TLS x509 valide codé au format PEM qui peut être utilisé pour le chiffrement. Le fichier de certificat doit porter une extension .crt.

  • Les certificats auto-signés ne sont pas pris en charge.

  • Le certificat que vous installez doit inclure Key Encipherment dans le champ d’utilisation de la clé à utiliser pour SSL/TLS. Tableau Server n’utilisera ce certificat que pour chiffrer le réseau vers le serveur LDAP. L’expiration, la confiance, le CRL et d’autres attributs ne sont pas validés.

  • Si vous exécutez Tableau Server dans un déploiement distribué, vous devez copier manuellement le certificat SSL sur chaque nœud du groupement. Copiez le certificat uniquement sur les nœuds où le processus du serveur d’applications Tableau Server est configuré. Contrairement aux autres fichiers partagés dans un environnement de groupement, le certificat SSL utilisé pour LDAP ne sera pas automatiquement distribué par le Service de fichiers client.

  • Si vous utilisez un certificat PKI ou un certificat non généré par une autorité de certification tierce, chargez le certificat racine de l’autorité de certification (CA) dans le magasin de confiance des certificats Java.

Importer un certificat dans le keystore Tableau

Si vous n’avez pas de certificats déjà en place sur votre ordinateur qui sont configurés pour le serveur LDAP, vous devez obtenir un certificat SSL pour le serveur LDAP et l’importer dans le keystore système Tableau.

Utilisez l’outil « keytool » Java d’importation de certificats. Dans une installation par défaut, cet outil est installé avec Tableau Server à l’adresse suivante :

/opt/tableau/tableau_server/packages/repository.<installer version>/jre/bin/keytool.

La commande suivante importe le certificat :

sudo "<installation_directory>/packages/repository*/jre/bin/keytool -importcert -file "<cert_directory/<cert_name.crt>" -alias "<cert_alias>" -keystore /etc/opt/tableau/tableau_server/tableauservicesmanagerca.jks -storepass changeit -noprompt

Le mot de passe pour le keystore Java est changeit. (Ne modifiez pas le mot de passe pour le keystore Java).

Méthodes de chiffrement

Tableau Server 2021.1 et ultérieur prend en charge deux méthodes pour chiffrer le canal LDAP pour la liaison simple : StartTLS et LDAPS.

  • StartTLS : il s’agit de la configuration par défaut pour la communication avec Active Directory dans Tableau Server 2021.2. Depuis Tableau Server 2021.2, TLS est pris en charge pour les connexions LDAP à liaison simple vers Active Directory. Cette configuration TLS par défaut est appliquée à la fois pour les nouvelles installations et pour les scénarios de mise à niveau.

    Remarque : StartTLS n’est pris en charge que par Tableau Server sur Linux lors de la communication avec Active Directory et liaison simple. StartTLS n’est pas pris en charge pour la communication avec d’autres types de serveurs LDAP ou avec GSSAPI.

    La méthode StartTLS fonctionne en établissant une connexion non sécurisée avec le serveur Active Directory. Après une négociation client-serveur, la connexion est mise à niveau vers une connexion chiffrée TLS. Dans la configuration par défaut, ce scénario nécessite seulement un certificat TLS valide sur Tableau Server. Aucune autre configuration n’est requise.

  • LDAPS : LDAP sécurisé, ou LDAPS, est un réseau chiffré standard qui nécessite des opérations de configuration supplémentaires. Plus précisément, en plus d’un certificat TLS sur Tableau Server, vous devez définir le nom d’hôte et le port LDAP sécurisé pour le serveur LDAP cible.

    LDAPS est pris en charge sur tout serveur LDAP, y compris les serveurs Active Directory.

Configurer un réseau chiffré pour une liaison simple

Cette section décrit comment configurer Tableau Server pour utiliser un réseau chiffré pour la liaison simple LDAP.

Quand configurer

Vous devez configurer Tableau Server de manière à utiliser un réseau chiffré pour la liaison simple LDAP avant l’initialisation de Tableau Server ou dans le cadre de la configuration du nœud initial comme mentionné dans l’onglet « Utiliser l’interface en ligne de commande TSM » dans Configurer les paramètres du nœud initial.

Pour les nouvelles installations de Tableau Server

Si votre entreprise utilise un répertoire LDAP autre que Active Directory, vous ne pouvez pas utiliser le programme d’installation de l’interface graphique TSM pour configurer le magasin d’identités dans le cadre de l’installation Tableau Server. Au lieu de cela, vous devez utiliser les fichiers d’entités JSON pour configurer le magasin d’identités LDAP. Consultez Entité identityStore.

Avant de configurer l’entité identityStore, importez un certificat SSL/TLS valide dans le keystore Tableau tel que documenté précédemment dans ce sujet.

La configuration de LDAPS nécessite de définir le nom d’hôte et les options sslPort dans le fichier IdentityStore JSON.

Pour les nouvelles installations dans un environnement Active Directory

Si vous utilisez Active Directory comme magasin d’identités externe, vous devez exécuter la version de l’interface utilisateur de configuration de Tableau Server. Contrairement au processus pour l’installation de Tableau Server, la version de l’interface utilisateur de configuration inclut une logique pour simplifier et valider la configuration Active Directory.

L’interface graphique de configuration de Tableau Server où vous configurez Active Directory est affichée ici.

Si vous installez une nouvelle instance de Tableau Server sur Linux et qu’un certificat SSL/TLS valide est installé dans le keystore Tableau, nous vous recommandons de laisser l’option par défaut définie sur StartTLS.

Si vous souhaitez configurer pour LDAPS, entrez le nom d’hôte et le port sécurisé (généralement 636) pour le serveur LDAP avant de sélectionner l’option LDAPS.

Vous pouvez apporter des modifications à ces configurations après votre installation en vous connectant à l’interface utilisateur Web TSM, en cliquant sur l’onglet Configuration, l’option Identité de l’utilisateur et accès, puis Magasin d’identités.

Scénarios de mise à niveau

Si vous effectuez une mise à niveau à une version 2021.2 (ou plus récente) de Tableau Server et que vous utilisez Active Directory comme magasin d’identités externe, le réseau chiffré est appliqué pour les connexions de liaison simple LDAP. Si vous n’avez pas configuré de réseau chiffré, la mise à niveau échouera.

Pour réussir la mise à niveau à la version 2021.2 ou une version plus récente, l’une des conditions suivantes doit être remplie :

  • L’installation existante de Tableau Server a déjà été configurée pour LDAPS et inclut un certificat dans le keystore Tableau.
  • Un certificat SSL/TLS valide est présent dans le keystore Tableau avant la mise à niveau. Dans ce scénario, la configuration StartTLS par défaut activera un réseau chiffré.
  • Le réseau LDAP chiffré a été désactivé comme décrit dans la section suivante.

Désactiver le réseau LDAP chiffré par défaut

Si vous exécutez Tableau Server sous Linux et que vous vous connectez à Active Directory, vous pouvez désactiver l’exigence de réseau chiffré.

Un fois le réseau désactivé, les identifiants des utilisateurs utilisées pour établir la session de liaison avec Active Directory sont communiqués en texte clair entre Tableau Server et le serveur Active Directory.

Désactiver la nouvelle installation

Si vous comptez utiliser Active Directory comme magasin d’identités, vous devez utiliser l’interface graphique TSM pour configurer la connexion Active Directory. Consultez Configurer les paramètres du nœud initial.

Sélectionnez LDAP (réseau non chiffré) lors de l’exécution du programme d’installation.

Désactiver avant la mise à niveau

Si vous effectuez une mise à niveau à Tableau Server 2021.2 (ou une version plus récente) depuis une version antérieure, exécutez les commandes suivantes sur une version antérieure de Tableau Server avant de procéder à la mise à niveau :

tsm configuration set -k wgserver.domain.ldap.starttls.enabled -v false --force-keys
tsm pending-changes apply

Pour vérifier que la clé a été définie, exécutez la commande suivante :

tsm configuration get -k wgserver.domain.ldap.starttls.enabled

La commande doit retourner false.

Messages d’erreur

Les messages d’erreur suivants peuvent être affichés ou enregistrés. Si vous voyez ces erreurs, procédez comme suit :

  • Vérifiez que votre certificat est valide et importé dans le keystore Tableau tel que décrit précédemment dans ce sujet.
  • (LDAPS uniquement) - Vérifiez que le nom de l’hôte et du port est correct.

Dans l’interface graphique de configuration

L’erreur suivante s’affiche si vous avez configuré LDAPS ou StartTLS incorrectement lors de l’exécution de l’interface graphique de configuration ou de mise à niveau.

TLS handshake failed. Tableau Server and the Active Directory server could not negotiate a compatible level of security.

Fichiers journaux Vizportal

Si vous configurez LDAPS ou StartTLS à l’aide de l’interface en ligne de commande, le message d’erreur suivant ne sera pas affiché. Au contraire, l’erreur sera enregistrée dans les fichiers journaux vizportal sur /var/opt/tableau/tableau_server/data/tabsvc/logs/vizportal.

Authentication with LDAP server failed. The provided credentials or configuration are either incorrect or do not have the necessary permissions to bind.
Retour en haut
Merci de vos commentaires!Votre commentaire s été envoyé avec succès. Merci!