Aide de Tableau Server sur Linux

Le contrôleur d’administration de Tableau Server (ou contrôleur) est le composant de gestion des modifications d’administration du regroupement Tableau Server. Par défaut, le contrôleur s’exécute sur le premier nœud d’un regroupement Tableau Server. Bien qu’il soit techniquement possible d’exécuter plusieurs contrôleurs dans un seul déploiement de regroupement Tableau, cette pratique n’est pas recommandée.

Le contrôleur inclut une API qui peut être gérée par différents clients : CLI TSM, client Web TSM, clients REST (curl, postman), etc. À l’aide de ces clients, les administrateurs de Tableau Server peuvent modifier la configuration du regroupement de serveurs. Le contrôleur, avec Zookeeper, gère et effectue les modifications de configuration sur les nœuds.

Remarque : comme le veut la convention, le terme « SSL » est utilisé ici lorsqu’il est fait référence à l’utilisation de TLS pour sécuriser le trafic HTTPS.

Par défaut, la connexion client est chiffrée avec SSL au moyen d’un certificat auto-signé qui est créé par Tableau Server lors de la configuration et renouvelé par le contrôleur. En plus du chiffrement, l’identité (nom d’hôte ou IP) de la machine hôte du contrôleur est validée par rapport au nom du sujet présenté dans le certificat lors de la poignée de main SSL. Cependant, comme le certificat est auto-signé, la fiabilité du certificat n’est pas absolue.

Dans le cas d’une connexion CLI au contrôleur, l’impossibilité d’accorder une confiance absolue au certificat ne constitue pas un risque énorme pour la sécurité, puisqu’une attaque de type intermédiaire nécessiterait généralement l’accès d’un utilisateur malveillant au regroupement du serveur Tableau dans un réseau privé. Si un utilisateur malveillant peut usurper le certificat du contrôleur dans le scénario CLI, l’utilisateur malveillant possède déjà « les clés du royaume ».

Cependant, dans le cas où les administrateurs se connectent à l’interface utilisateur du contrôleur TSM Web depuis l’extérieur du réseau interne, l’absence de validation de l’hôte via une autorité de certification de confiance présente davantage un risque de sécurité.

Jusqu’à récemment, les clients exécutant l’interface utilisateur TSM Web sur une machine Windows pouvaient placer le certificat CA de Tableau Server dans un magasin racine de confiance Windows. La plupart des navigateurs valideraient la confiance du certificat en vertu de cette configuration. Aujourd’hui, Chrome ne valide plus (fait confiance) aux certificats auto-signés qui sont placés dans le magasin de confiance du système d’exploitation. Désormais, Chrome (et la plupart des principaux navigateurs) ne fera confiance qu’aux certificats qui renvoient à une autorité de certification racine tierce de confiance.

La fonction de certificat SSL TSM personnalisé comble l’écart de confiance en permettant aux administrateurs de configurer le contrôleur TSM avec un certificat d’identité qui renvoie à une autorité de certification racine tierce de confiance.

Il y a un certain nombre de détails importants à comprendre :

• La confiance pour le certificat SSL personnalisé TSM est validée lors de la connexion avec l’interface utilisateur Web TSM.
• La validation de confiance n’est pas tentée pour le scénario TSM CLI. Comme décrit précédemment, une attaque de type intermédiaire sur le scénario CLI ne présente pas de risque crédible.
• La chaîne de certificats peut être incluse dans la configuration. La chaîne peut présenter tous les certificats signés par les AC intermédiaires. La chaîne peut se terminer à tout moment et tous les certificats manquants dans la chaîne sont présumés être installés dans le magasin de confiance du système d’exploitation.

Vous devez utiliser l’interface de ligne de commande TSM pour configurer (ou mettre à jour) un certificat SSL personnalisé pour TSM.

Consultez tsm security custom-tsm-ssl enable.