Aide de Tableau Server sur Linux

La prise en charge de la passerelle indépendante par TLS est disponible dans Tableau Server 2022.1.2 et versions ultérieures.

Tableau Server et Tableau Server Independent Gateway utilisent tous deux le module SSL (mod_ssl) créé avec OpenSSL pour implémenter les fonctionnalités TLS (Transport Layer Security).

En raison de sa complexité et de sa nature sensible à la sécurité, nous recommandons de confier la planification et la mise en œuvre de la configuration TLS à un professionnel de l’informatique familier de TLS sur Apache httpd.

Dans de nombreux cas, nous utilisons « SSL » dans les noms des éléments pour assurer la compatibilité avec les propriétés ou concepts de configuration TSM ou Apache httpd existants. « SSL » fait en fait référence à des versions de protocole désormais considérées comme non sécurisées et obsolètes. Cependant, le nom hérité persiste et est souvent utilisé de manière interchangeable avec TLS comme convention. Tableau Server et la passerelle indépendante ne prennent pas en charge les protocoles de l’ère SSL.

Exemple de configuration TLS

Pour un exemple de configuration TLS de bout en bout, consultez Configurer SSL/TLS depuis l’équilibreur de charge vers Tableau Server(Le lien s’ouvre dans une nouvelle fenêtre) dans le Guide de déploiement en entreprise. Cette rubrique présente un exemple détaillé de configuration de TLS sur Tableau Server sous Linux dans un déploiement AWS. Bien que l’exemple décrive le processus pour Linux, l’exemple de configuration est également utile pour Tableau Server sous Windows.

Présentation de la configuration TLS

Vous pouvez configurer TLS pour HTTPS sur l’une des sections suivantes du chemin Internet vers Tableau Server :

• Du réseau externe (Internet ou équilibreur de charge frontal) à la passerelle indépendante
• De la passerelle indépendante à Tableau Server
• Pour le processus de nettoyage (HK) de Tableau Server à la passerelle indépendante
  

Cette rubrique décrit les procédures de configuration de chacun de ces tronçons.

Vous devrez apporter des modifications de configuration aux ordinateurs de la passerelle indépendante et au cluster Tableau Server.

Exigences et considérations relatives aux certificats

Les exigences de certificat pour la passerelle indépendante sont les mêmes que celles spécifiées pour« SSL externe » sur Tableau Server. Consultez Exigences relatives aux certificats SSL.

Autres considérations :

• Pour simplifier la gestion et le déploiement des certificats, et comme meilleure pratique de sécurité, nous vous recommandons d’utiliser des certificats générés par une autorité de certification (CA) tierce majeure de confiance. Sinon, vous pouvez générer des certificats auto-signés ou utiliser les certificats d’un PKI pour TLS. Dans ce cas, faites attention aux options de configuration relatives à l’approbation des certificats CA et à la validation des certificats.
• Si votre implémentation nécessite l’utilisation d’un fichier de chaîne de certificats, consultez l’article de la Base de connaissances Configurer TLS sur une passerelle indépendante en cas d’utilisation d’un certificat avec chaîne de certificats(Le lien s’ouvre dans une nouvelle fenêtre).
• Si vous exécutez plusieurs instances de passerelle indépendante, vous devez distribuer des certificats à chaque ordinateur au même emplacement (chemin d’accès au fichier).
• Si vous exécutez un déploiement Tableau Server multi-nœuds, les certificats que vous chargez avec les commandes TSM sont automatiquement distribués sur les nœuds. Exécutez toutes les commandes TSM sur le nœud initial.

Configurations TLS globales

Les configurations suivantes sont globales. Les options de configuration ci-dessous font référence aux clés de configuration qui doivent être définies avec la commande tsm configuration set. Les commandes doivent inclure l’option --force-keys.

Il est peu probable que vous soyez amené à modifier ces valeurs.

Notez que chaque paire de clés partage le même format d’appellation, où la chaîne tsig définit la valeur de la passerelle indépendante. La clé qui n’inclut pas la chaîne tsig définit la valeur du processus de passerelle sur le cluster Tableau Server.

Si vous ne définissez pas de valeur pour la clé tsig, la valeur par défaut de la passerelle Tableau Server sera utilisée.

gateway.tsig.httpd.socache ou gateway.httpd.socache

Par défaut : shmcb

Valeur alternative : dbm

Type de stockage du cache de session SSL inter-processus. Pour plus d’informations sur les types de stockage shmcb et dbm, consultez Directive SSLSessionCache(Le lien s’ouvre dans une nouvelle fenêtre) sur le site Web Apache.

gateway.tsig.httpd.shmcb.size ou gateway.httpd.shmcb.size

Par défaut : 2048000

Quantité de mémoire, en octets, à utiliser pour le tampon circulaire lors de l’utilisation du type de stockage shmcb.

Remarque : une autre clé globale est gateway.tsig.ssl.key.passphrase.dialog. Le cas échéant, il n’y a qu’une seule configuration pour gateway.tsig.ssl.key.passphrase.dialog. Du fait de sa conception, la commande collecte les phrases de passe pour tous les fichiers de clé privée chiffrés dans la configuration. Les sections applicables plus loin dans cette rubrique décrivent l’utilisation de cette clé.

TLS externe vers passerelle indépendante

Le processus de configuration des connexions externes pour mettre fin à TLS sur les serveurs de passerelle indépendante est conceptuellement similaire à la façon dont « SSL externe » est configuré pour un cluster Tableau Server. La mécanique est différente. TSM ne distribue pas automatiquement le certificat et le matériel de clé aux nœuds de la passerelle indépendante. De plus, la passerelle indépendante ne fournit pas automatiquement un moyen de fournir la phrase secrète de clé TLS facultative au démarrage.

Les étapes suivantes décrivent comment configurer TLS à partir d’une source externe vers des ordinateurs de la passerelle indépendante.

Étape 1 : Distribuer les fichiers aux ordinateurs de la passerelle indépendante

1. Placez les certificats et les fichiers associés dans un emplacement et avec des autorisations permettant au service de passerelle indépendante (tsig-httpd) de les lire. Nous vous recommandons de restreindre l’accès aux fichiers clés afin que seul le service de passerelle indépendante puisse les lire.
2. Placez tous les fichiers, certificats et clés exactement aux mêmes emplacements sur tous les ordinateurs de la passerelle indépendante. Ne placez pas les fichiers dans les chemins TSIG_INSTALL et TSIG_DATA pour éviter qu’ils soient supprimés si vous réinstallez ou mettez à niveau la passerelle indépendante.

Étape 2 : Mettre à jour les variables d’environnement sur les ordinateurs de la passerelle indépendante

Sur chaque ordinateur de la passerelle indépendante, définissez les variables d’environnement TSIG_PORT etTSIG_PROTOCOL sur 443 (par convention, mais tout numéro de port TCP inutilisé est pris en charge) et https respectivement.

sudo su - tableau-tsig
systemctl --user restart tsig-httpd
exit

Étape 3 : Définir les propriétés de configuration TLS sur Tableau Server

La plupart des clés de configuration TSM du tableau suivant sont dérivées des directives Apache httpd. Les valeurs de configuration de ces clés de configuration TSM correspondent ainsi directement aux valeurs valides de la directive Apache correspondante. Les liens vers les directives correspondantes sont inclus dans le tableau suivant.

Dans certains cas. la configuration utilisera des configurations de secours si une clé particulière n’est pas définie. Celles-ci sont appelées dans le tableau ci-dessous.

Les options de configuration du tableau suivant font référence aux clés de configuration que vous devez définir avec la commande tsm configuration set. Toutes les commandes doivent inclure l’option --force-keys. Par exemple :

tsm configuration set -k gateway.tsig.ssl.enabled -v true --force-keys

Après avoir défini les clés de configuration, vous devez exécuter tsm pending-changes apply.

Passerelle indépendante vers Tableau Server

Cette section décrit comment chiffrer la connexion entre la passerelle indépendante et Tableau Server.

Étape 1 : Configurer et activer TLS sur Tableau Server

Consultez Configurer SSL pour le trafic HTTP externe vers et depuis Tableau Server.

Notez que « SSL » est en fait une implémentation TLS et que « externe » fait référence à une connexion externe à Tableau Server. Dans ce scénario, la passerelle indépendante est la connexion « externe ».

Nous vous recommandons d’activer et de vérifier que les clients peuvent se connecter avec TLS directement à Tableau Server avant de configurer la passerelle indépendante.

Étape 2 : distribuer les fichiers de certificat sur les ordinateurs de la passerelle indépendante

Vous devrez distribuer les fichiers de certificat sur les ordinateurs de la passerelle indépendante si l’une des conditions suivantes est vraie :

• Vous utilisez des certificats auto-signés ou PKI pour les certificats TLS sur le déploiement Tableau Server.
• Vous activez TLS mutuel sur la connexion depuis la passerelle indépendante vers Tableau Server.
  

Comme pour tous les fichiers liés à TLS sur les ordinateurs de la passerelle indépendante, vous devez placer les fichiers dans les mêmes chemins sur chaque ordinateur. Tous les noms de fichiers pour les fichiers partagés TLS doivent également être identiques.

Étape 3 : Définir les propriétés de configuration TLS sur Tableau Server

La plupart des clés de configuration TSM du tableau suivant sont dérivées des directives Apache httpd. Les valeurs de configuration de ces clés de configuration TSM correspondent ainsi directement aux valeurs valides de la directive Apache correspondante. Les liens vers les directives correspondantes sont inclus dans le tableau suivant.

Dans certains cas. la configuration utilisera des configurations de secours si une clé particulière n’est pas définie. Celles-ci sont appelées dans le tableau ci-dessous.

Les options de configuration du tableau suivant font référence aux clés de configuration que vous devez définir avec la commande tsm configuration set. Toutes les commandes doivent inclure l’option --force-keys. Par exemple :

tsm configuration set -k gateway.tsig.ssl.enabled -v true --force-keys

Après avoir défini les clés de configuration, vous devez exécuter tsm pending-changes apply.

Étape 4 : Télécharger le certificat CA racine sur Tableau Server

Si le certificat TLS que vous utilisez sur les ordinateurs de la passerelle indépendante est un certificat auto-signé ou généré par PKI, vous devez effectuer cette étape supplémentaire. Si le certificat TLS que vous utilisez sur l’ordinateur de la passerelle indépendante est un certificat d’une autorité CA tierce approuvée, vous pouvez ignorer cette étape.

Copiez le certificat CA racine utilisé pour les ordinateurs de la passerelle indépendante sur le nœud initial de Tableau Server, puis exécutez les commandes suivantes :

tsm security custom-cert add -c <root-certificate-file-name>.pem
tsm pending-changes apply

Nettoyage de la connexion entre Tableau Server et la passerelle indépendante

Le processus de nettoyage (HK) assure le maintien de l’état de la configuration entre le déploiement principal de Tableau Server et la passerelle indépendante.

Lorsque la passerelle indépendante est installée, la configuration par défaut fournit une connexion HTTP non chiffrée. La passerelle indépendante écoute les demandes de nettoyage provenant du cluster Tableau Server (comme vous l’avez défini lors de l’installation).

Si vous exécutez plusieurs instances de passerelle indépendante, tous les serveurs doivent accepter les demandes de nettoyage avec TLS ou sans TLS. Cette section décrit comment configurer la connexion HK pour TLS. Ce processus nécessite de redémarrer Tableau Server et entraînera un temps d’arrêt.

Comme pour les scénarios TLS précédents décrits ci-dessus, de nombreuses modifications de configuration pour la connexion HK sont définies dans les propriétés de configuration gérées par le cluster Tableau Server. Par contre, la configuration de HK TLS nécessite des étapes supplémentaires sur la passerelle indépendante.

Étape 1 : Distribuer les fichiers aux ordinateurs de la passerelle indépendante

Si vous avez activé TLS avec un réseau externe et une passerelle indépendante, vous pouvez utiliser le même certificat et les mêmes fichiers de clé pour la connexion HK.

Si vous utilisez les mêmes ressources, le seul autre fichier de certificat que vous devez distribuer est le certificat CA racine pour le certificat utilisé par Tableau Server. Si le certificat TLS présenté par Tableau Server est généré par une autorité de certification tierce de confiance, vous n’avez pas besoin de copier un certificat CA racine sur les ordinateurs de la passerelle indépendante.

1. Placez les certificats et les fichiers associés dans un emplacement et avec des autorisations permettant au service de passerelle indépendante (tsig-httpd) de les lire. Nous vous recommandons de restreindre l’accès aux fichiers clés afin que seul le service de passerelle indépendante puisse les lire.
2. Placez tous les fichiers, certificats et clés exactement aux mêmes emplacements sur tous les ordinateurs de la passerelle indépendante.

Étape 2 : Importer le certificat CA racine de la passerelle indépendante dans le magasin de confiance de Tableau Server

Si le certificat TLS que vous utilisez sur les ordinateurs de la passerelle indépendante est un certificat auto-signé ou généré par PKI, vous devez effectuer cette étape supplémentaire. Si le certificat TLS que vous utilisez sur l’ordinateur de la passerelle indépendante est un certificat d’une autorité CA tierce approuvée, vous pouvez ignorer cette étape.

Vous ne pouvez télécharger qu’un seul certificat CA racine sur Tableau Server. Par conséquent, si vous avez déjà téléchargé un certificat CA racine, le même certificat CA racine doit signer le certificat que vous utiliserez pour la connexion HK.

Copiez le certificat CA racine utilisé pour les ordinateurs de la passerelle indépendante sur le nœud initial de Tableau Server, puis exécutez les commandes suivantes :

tsm security custom-cert add -c <root-certificate-file-name>.pem
tsm pending-changes apply

Étape 3 : Mettre à jour les variables d’environnement sur les ordinateurs de la passerelle indépendante

Sur chaque ordinateur de la passerelle indépendante, définissez la variable d’environnement TSIG_HK_PROTOCOL sur https. Vous pouvez spécifier un autre port pour HK (la valeur par défaut est 21319) en définissant également la variable d’environnement TSIG_HK_PORT.

sudo su - tableau-tsig
systemctl --user restart tsig-httpd
exit

Étape 4 : Mettre à jour httpd.conf.stub sur la passerelle indépendante

Vous devez mettre à jour le fichier httpd.conf.stubsur chaque serveur de passerelle indépendante. Le fichier httpd.conf.stub est utilisé pour amorcer la configuration httpd globale.

Le fichier se trouve sur TSIG_DATA/config/httpd.conf.stub.

Dans une installation par défaut : /var/opt/tableau/tableau_tsig/config/httpd.conf.stub.

1. Ouvrez le fichier httpd.conf.stub dans un éditeur de texte. Vous devez mettre à jour le bloc <VirtualHost *:${TSIG_HK_PORT}> avec les détails de configuration HK. L’exemple suivant montre les modifications requises :

   <VirtualHost *:${TSIG_HK_PORT}>
    SSLEngine on
    #TLS# SSLHonorCipherOrder on
    #TLS# SSLCompression off
    SSLCertificateFile /etc/ssl/certs/tsig-ssl.crt
    SSLCertificateKeyFile /etc/ssl/private/tsig-ssl.key
    SSLCACertificateFile /etc/ssl/certs/rootTS-CACert.pem 
   #TLS# SSLCARevocationFile /path/to/file
   </VirtualHost>				

   Remarques :

   • Par défaut, chaque ligne du bloc <VirtualHost *:${TSIG_HK_PORT}> est commenté par la chaîne,#TLS#. Pour « activer » une ligne dans le bloc, supprimez la chaîne#TLS# en début de ligne.
   • Comme pour toutes les configurations httpd, chaque fichier référencé nécessite un chemin absolu vers le fichier.
   • SSLCACertificateFile spécifie le certificat CA racine pour l’autorité de certification qui génère le certificat présenté par Tableau Server. Vous ne devez le définir que si le certificat TLS utilisé par Tableau Server est auto-signé ou généré par un PKI.

2. Arrêtez le service tsig-httpd.

   sudo su - tableau-tsig

   systemctl --user stop tsig-httpd

   exit

   Vous commencerez à recevoir des vérifications d’état d’échec à ce stade, indiquant dans TSM que votre composant de passerelle indépendante est dégradé.

3. Copiez httpd.conf.stub sur httpd.conf.

   Le fichier httpd.conf se trouve alors dans le même répertoire. Remplacez le fichier httpd.conf par le fichier httpd.conf.stub.

   cp httpd.conf.stub httpd.conf

4. Démarrez le service tsig-httpd.

   sudo su - tableau-tsig
   systemctl --user start tsig-httpd
   exit

   Vous continuerez à recevoir des vérifications d’état d’échec à ce stade, indiquant dans TSM que votre composant de passerelle indépendante est dégradé. Ces vérifications d’état échoueront jusqu’à ce que vous ayez terminé la configuration comme décrit dans les étapes suivantes.

Étape 5 : Définir les propriétés de configuration TLS sur Tableau Server

L’application des modifications de configuration nécessite un redémarrage du serveur. Pour éviter de longs délais d’attente, nous vous recommandons d’arrêter le serveur avant d’appliquer les modifications que vous définissez ici. À l’étape 6, vous exécuterez une commande de mise à jour, puis redémarrerez TSM. L’arrêt de TSM à cette phase de la configuration entraîne un temps d’arrêt plus court.

1. Arrêtez TSM. Exécutez la commande suivante :

   tsm stop

2. La plupart des clés de configuration TSM du tableau suivant sont dérivées des directives Apache httpd. Les valeurs de configuration de ces clés de configuration TSM correspondent ainsi directement aux valeurs valides de la directive Apache correspondante. Les liens vers les directives correspondantes sont inclus dans le tableau suivant.

   Il existe des noms de propriété de configuration TSM qui incluent le nœud hk dans le préfixe: gateway.tsig.hk.xyz.abc. Si l’option est activée, ces valeurs sont utilisées pour la configuration HK TLS. Si l’option n’est pas activée, de nombreuses propriétés de configuration auront recours à gateway.tsig.xyz.abc, qui peuvent elles-mêmes avoir ou non recours à gateway.xyz.abc. La propriété de configuration de secours est répertoriée le cas échéant.

   Les options de configuration du tableau suivant font référence aux clés de configuration que vous devez définir avec la commande tsm configuration set. Toutes les commandes doivent inclure l’option --force-keys. Par exemple :

   tsm configuration set -k gateway.tsig.hk.ssl.enabled -v true --force-keys

   Propriété de configuration	Description	Directive Apache correspondante
   gateway.tsig.hk.ssl.enabled (Pas de propriété de secours)	Obligatoire. Active TLS. Doit être défini sur true.	N/A
   gateway.tsig.hk.ssl.cert.file_name Propriété de secours : gateway.tsig.ssl.cert.file_name	Chemin + nom de fichier du fichier de certificat pour la passerelle indépendante. Par exemple, /etc/ssl/certs/tsig-ssl.crt.	SSLCertificateFile(Le lien s’ouvre dans une nouvelle fenêtre)
   gateway.tsig.hk.ssl.key.file_name Propriété de secours : gateway.tsig.ssl.key.file_name	Chemin + nom de fichier du fichier de clé de certificat pour la passerelle indépendante. Par exemple, /etc/ssl/keys/tsig-ssl.key.	SSLCertificateKeyFile(Le lien s’ouvre dans une nouvelle fenêtre)
   gateway.tsig.ssl.key.passphrase.dialog (Propriété globale)	Si votre clé nécessite une phrase secrète, vous devez configurer cette clé avec la chaîne correcte attendue par la directive Apache httpd SSLPassPhraseDialog. Cette configuration est globale pour la passerelle indépendante.	SSLPassPhraseDialog(Le lien s’ouvre dans une nouvelle fenêtre)
   gateway.tsig.hk.ssl.protocols Propriétés de secours : gateway.tsig.ssl.protocols ssl.protocols	Spécifie les versions prises en charge de SSL/TLS. Voir Liste de contrôle pour une sécurité renforcée pour plus d’informations sur la configuration par défaut.	SSLProtocols(Le lien s’ouvre dans une nouvelle fenêtre)
   gateway.tsig.hk.ssl.ciphersuite Propriétés de secours : gateway.tsig.ssl.ciphersuite ssl.ciphersuite	Spécifie les chiffrements que le client est autorisé à négocier pour la connexion SSL.	SSLCipherSuite(Le lien s’ouvre dans une nouvelle fenêtre)
   gateway.tsig.hk.ssl.client_certificate_login.required (Pas de propriété de secours)	Définissez cette valeur sur true pour activer TLS mutuel sur cette connexion. Vous devez également définir la propriété gateway.tsig.hk.ssl.cacert.file comme spécifié ci-dessous.	N/A
   gateway.tsig.hk.ssl.cacert.file Propriété de secours : gateway.tsig.ssl.cacert.file	Spécifie le fichier contenant les certificats CA concaténés pour le processus d’authentification client.	SSLCACertificateFile(Le lien s’ouvre dans une nouvelle fenêtre)
   gateway.tsig.hk.ssl.revocation.file Propriété de secours : gateway.tsig.hk.ssl.revocation.file	Spécifie le fichier contenant les listes de révocation CA concaténées pour les clients qui se connectent à la passerelle indépendante.	SSLCARevocationFile(Le lien s’ouvre dans une nouvelle fenêtre)

3. Appliquez les modifications. Exécutez la commande suivante :

   tsm pending-changes apply.

Étape 6 : Mettre à jour le fichier de configuration JSON de la passerelle indépendante

La dernière étape consiste à mettre à jour la configuration de la passerelle indépendante avec un fichier JSON reflétant le passage à https et, le cas échéant, d’autres numéros de port.

Consultez la rubrique d’installation pour plus d’informations sur la modification de ce fichier. Voir Étape 3 : Activer Independent Gateway dans Tableau Server.

Après avoir modifié le fichier JSON, exécutez les commandes suivantes :

tsm topology external-services gateway update -c tsig.json
tsm start

Résolution des problèmes

Pour obtenir des conseils de dépannage, consultez Résolution des problèmes de la passerelle indépendante Tableau Server(Le lien s’ouvre dans une nouvelle fenêtre) dans le Guide de déploiement en entreprise (EDG). Le guide EDG fournit un exemple de déploiement de Tableau Server sous Linux. Les étapes de dépannage sont utiles pour les versions Windows ou Linux de Tableau Server.