Configurer Postgres SSL pour autoriser les connexions directes depuis les clients

Lorsque Tableau Server est configuré pour utiliser SSL pour la communication interne avec le référentiel postgres, vous pouvez également exiger que les clients Tableau et les clients postgres externes se connectant directement au référentiel vérifient l’identité du référentiel postgres Tableau en comparant le certificat SSL présenté par l’instance postgres interne avec le certificat distribué au client Tableau ou postgres externe.

Les connexions directes incluent celles qui utilisent l’utilisateur tableau ou l’utilisateur readonly. Quelques exemples de clients Tableau : Tableau Desktop, Tableau Mobile, l’API REST, navigateurs Web.

  1. Activez SSL interne pour le référentiel en exécutant les commandes suivantes :

    tsm security repository-ssl enable

    tsm pending-changes apply

    Ceci active la prise en charge de SSL, génère un nouveau certificat de serveur et de nouveaux fichiers de clés et exige que les clients Tableau utilisent SSL pour se connecter au référentiel. Pour plus de commandes et d’options repository-ssl, consultez tsm security.

    Si les modifications en attente nécessitent un redémarrage du serveur, la commande pending-changes apply affichera une invite pour vous informer qu’un redémarrage va avoir lieu. Cette invite s’affiche même si le serveur est arrêté, mais dans ce cas, il n’y a pas de redémarrage. Vous pouvez supprimer l’invite à l’aide de l’option --ignore-prompt, mais cela ne modifiera pas le comportement de redémarrage. Si les modifications ne nécessitent pas de redémarrage, les modifications sont appliquées sans invite. Pour plus d’informations, consultez tsm pending-changes apply.

  2. (Facultatif) Si vous avez configuré votre ordinateur client pour valider les connexions Postgres SSL, vous devez importer le certificat généré par Tableau Server sur les ordinateurs exécutant Tableau Desktop. Pour chaque ordinateur client qui se connecte directement au référentiel, effectuez les opérations suivantes :

    • Copiez le fichier server.crt sur l’ordinateur client. Vous pouvez retrouver ce fichier dans le répertoire suivant :

      /var/opt/tableau/tableau_server/data/tabsvc/config/pgsql_<version_code>/security

      Remarque : Ne copiez pas le fichier server.key sur l’ordinateur client. Ce fichier devrait uniquement résider sur le serveur.

    • Importez le certificat dans le magasin de certificats de l’ordinateur.

      Pour plus d’informations, utilisez la documentation du fabricant du système d’exploitation.

  3. (Facultatif) Configurez tous les clients postgres externes (non-Tableau) (PgAdmin ou Dbeaver par exemple) pour vérifier l’identité du référentiel postgres de Tableau Server. Faites-le dans le pilote postgresql JDBC que le client utilise pour se connecter en définissant la directive "sslmode" sur "verify-ca" ou "verify-full". Les options disponibles peuvent être différentes selon la version du pilote postgres utilisé. Pour plus d’informations, consultez la documentation du pilote sur la prise en charge SSL.

Merci de vos commentaires !Avis correctement envoyé. Merci