tsm security

Utilizza i comandi tsm security per configurare Tableau Server il supporto per SSL esterno (gateway) o repository (Postgres) SSL. La configurazione del repository SSL include l'opzione per attivare SSL su connessioni dirette da client Tableau, inclusi Tableau desktop, Tableau Mobile e browser Web, al repository.

Prerequisiti

Prima di configurare SSL, è necessario acquisire i certificati e quindi copiarli nel computer che esegue il Tableau Server processo di gateway. Per consentire connessioni dirette dai client è necessaria una preparazione aggiuntiva. Per maggiori informazioni, consulta i seguenti articoli:

Configurare SSL per il traffico HTTP esterno da e verso Tableau Server

Configurare SSL per le comunicazioni interne a Postgres

 Per informazioni sull'autenticazione SSL reciproca (bidirezionale), consulta Configurare l'autenticazione SSL reciproca e tsm authentication mutual-ssl commands.

tsm security custom-cert add

Aggiunge un certificato CA personalizzato a Tableau Server. Questo certificato viene utilizzato facoltativamente per stabilire l'attendibilità per la comunicazione TLS tra un server SMTP e Tableau Server.

Se esiste già un certificato personalizzato, questo comando avrà esito negativo. Puoi rimuovere il certificato personalizzato esistente con il comando tsm security custom-cert delete.

Nota: il certificato aggiunto con questo comando può essere utilizzato da altri servizi di Tableau Server per le connessioni TLS.

Come parte del piano di ripristino di emergenza, è consigliabile conservare un backup del file di certificato in una posizione sicura all'esterno di Tableau Server. Il file di certificato aggiunto a Tableau Server verrà archiviato e distribuito ad altri nodi dal Servizio file client. Tuttavia, il file non viene memorizzato in un formato recuperabile. Vedi Servizio file client di Tableau Server.

tsm security custom-cert add --cert-file <file.crt> [global options]

Opzioni

-c, --cert-file <file.crt>

Obbligatorio. Specifica il nome di un file di certificato in un formato PEM o DER valido.

tsm security custom-cert delete

Consente di rimuovere il certificato personalizzato esistente del server. In questo modo potrai aggiungere un nuovo certificato personalizzato.

Riepilogo

tsm security custom-cert delete[global options]

tsm security custom-cert list

Elenca i dettagli del certificato personalizzato.

Riepilogo

tsm security custom-cert list[global options]

tsm security external-ssl disable

Rimuove le impostazioni di configurazione SSL esistenti sul server e interrompe la crittografia del traffico tra client esterni e server.

Riepilogo

tsm security external-ssl disable [global options]

tsm security external-ssl enable

Abilita e specifica i file di certificati e chiavi per SSL su comunicazione HTTP esterna.

Riepilogo

tsm security external-ssl enable --cert-file <file.crt> --key-file <file.key> [options] [global options]

Opzioni

--cert-file <file.crt>

Obbligatorio. Specifica il nome di un certificato x509 valido con codifica PEM ed estensione .crt.

--key-file <file.key>

Obbligatorio. Specifica un file della chiave privata RSA o DSA valido con estensione .key per convenzione.

--chain-file <chainfile.crt>

Specifica il file della catena di certificati (.crt)

Per Tableau Desktop su Mac è necessario un file della catena di certificati. In alcuni casi, per Tableau Mobile può essere richiesto un file di catena di certificati.

Alcuni provider rilasciano due certificati per Apache. Il secondo certificato è un file della catena, ossia una concatenazione di tutti i certificati che formano la relativa catena per il certificato del server.

Tutti i certificati nel file devono essere di tipo x509 con codifica PEM e il file deve avere un'estensione .crt (non .pem).

--passphrase

Facoltativo. Passphrase per il file del certificato. La passphrase inserita sarà crittografata a riposo.

Nota: se crei un file della chiave del certificato con una passphrase, non potrai riutilizzare la chiave del certificato SSL per SAML.

--protocols <list protocols>

Facoltativo. Elenca le versioni del protocollo TLS (Transport Layer Security) da consentire o non consentire.

TLS è una versione migliorata di SSL. Tableau Server utilizza TLS per l'autenticazione e la crittografia delle connessioni. I valori accettati includono le versioni del protocollo supportate da Apache. Per disabilitare un protocollo, anteporre il carattere meno (-) alla versione del protocollo.

Impostazioni predefinite: "all, -SSLv2, -SSLv3"

Questo valore predefinito non consente ai client di utilizzare protocolli SSL v2 o SSL v3 per connettersi a Tableau Server. È tuttavia consigliabile arrestare anche TLS v1 e TLS 1.1.

Prima di rifiutare una versione specifica di TLS, verifica che i browser da cui gli utenti si collegano a Tableau Server supportino TLS v1.2. Potrebbe essere necessario mantenere il supporto per TLSv1.1 fino all'aggiornamento dei browser.

Se non è necessario mantenere il supporto per TLS v1 o 1.1, utilizza il comando seguente per consentire TLS v1.2 (utilizzando il valore all) e rifiutare esplicitamente SSL, SSL v3, TLS v1 e TLS 1.1.

tsm security external-ssl enable --cert-file file.crt --key-file file.key --protocols "all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1"

tsm security external-ssl list

Visualizza un elenco delle impostazioni relative alla configurazione del gateway esterno SSL. L'elenco include i nomi dei file di certificato in uso, ma non il percorso.

Riepilogo

tsm security external-ssl list [global options]

tsm security kms set-mode aws

Imposta la modalità KMS su AWS.

È necessario disporre dell'intera stringa ARN da AWS KMS. Questa stringa si trova nella sezione "Configurazione generale" delle pagine di gestione di AWS KMS. La stringa ARN presenta questo formato: arn:aws:kms:<regione>:<account>:key/<ID_CMK>, ad esempio arn:aws:kms:us-west-2:867530990073:key/1abc23de-fg45-6hij-7k89-1l0mn1234567.

Per maggiori informazioni, consulta Sistema di gestione delle chiavi.

Riepilogo

tsm security kms set-mode aws --key-arn "<arn>" --aws-region "<region>" [global options]

Opzioni

--key-arn

Obbligatorio. L'opzione --key-arn consente di acquisire una copia diretta della stringa dall'ARN nella sezione "Configurazione generale" delle pagine di gestione di AWS KMS.

--aws-region

Obbligatorio. Specifica una regione come mostrato nella colonna Regione nella tabella Amazon API Gateway(Link opens in a new window).

Esempio

Ad esempio, se l'istanza di AWS KMS è in esecuzione nella regione us-west-2, il numero di account è 867530990073 e la chiave CMK è 1abc23de-fg45-6hij-7k89-1l0mn1234567, il comando sarà il seguente:

tsm security kms set-mode aws --aws-region "us-west-2" --key-arn "arn:aws:kms:us-west-2:867530990073:key/1abc23de-fg45-6hij-7k89-1l0mn1234567"

tsm security kms set-mode local

Imposta la modalità KMS su locale. Locale è la modalità KMS predefinita. Per maggiori informazioni, consulta Sistema di gestione delle chiavi.

Riepilogo

tsm security kms set-mode local [global options]

tsm security kms status

Visualizza lo stato della configurazione KMS.

Viene restituito quanto segue:

  • La stringa ARN (ID) della chiave master del cliente (CMK).
  • La regione in cui si trova la CMK.
  • L'ID della chiave master radice (RMK) in uso. La RMK è una chiave che viene crittografata dalla CMK. Tableau Server decrittografa la CMK effettuando chiamate ad AWS KMS. L'RMK viene quindi utilizzata per crittografare/decrittografare la chiave master di estrazione (MEK). L'RMK può cambiare, ma ce ne sarà solo una alla volta.
  • KMS memorizza una raccolta di chiavi master delle estrazioni (MEK). Ogni MEK ha:
    • Un ID, ad esempio 8ddd70df-be67-4dbf-9c35-1f0aa2421521
    • Uno stato "chiave di crittografia o decrittografia" o "chiave di sola decrittografia". Se una chiave è "di crittografia o decrittografia", Tableau Server crittograferà i nuovi dati con questa. In caso contrario, la chiave sarà usata solo per la decrittografia
    • Un timestamp della creazione, ad esempio "Data di creazione: 2019-05-29T23:46:54Z."
    • Prima transizione alla crittografia e alla decrittografia: un timestamp che indica quando la chiave è diventata di crittografia o decrittografia.
    • Transizione a solo di decrittografia: un timestamp che indica quando la chiave è passata alla sola decrittografia.

Riepilogo

tsm security kms status [global options]

tsm security maestro-rserve-ssl disable

Disabilita la connessione Rserve.

Per maggiori informazioni, consulta Usare gli script R (Rserve) nel flusso.

tsm security maestro-rserve-ssl enable

Configura una connessione tra un server Rserve e Tableau Server versione 2019.3 o successiva.

Per maggiori informazioni, consulta Usare gli script R (Rserve) nel flusso.

Riepilogo

tsm security maestro-rserve-ssl enable --connection-type <maestro-rserve-secure | maestro-rserve> --rserve-host <Rserve IP address or host name> --rserve-port <Rserve port> --rserve-username <Rserve username> --rserve-password <Rserve password> --rserve-connect-timeout-ms <RServe connect timeout>

Opzioni

--connection-type

Seleziona maestro-rserve-secure per abilitare una connessione protetta o maestro-rserve per abilitare una connessione non protetta. Se selezioni maestro-rserve-secure, specifica il percorso del file del certificato nella riga di comando.

--rserve-host

Host

--rserve-port

Porta

--rserve-username

Nome utente

--rserve-password

Password

--rserve-connect-timeout-ms

Timeout della connessione in millisecondi. Ad esempio --rserve-connect-timeout-ms 900000.

tsm security maestro-tabpy-ssl disable

Disabilita la connessione TabPy.

Per maggiori informazioni, consulta Usare gli script Python nel flusso.

tsm security maestro-tabpy-ssl enable

Configura una connessione tra un server TabPy e Tableau Server versione 2019.3 o successiva.

Per maggiori informazioni, consulta Usare gli script Python nel flusso.

Riepilogo

tsm security maestro-tabpy-ssl enable --connection-type <maestro-tabpy-secure | maestro-tabpy> --tabpy-host <TabPy IP address or host name> --tabpy-port <TabPy port> --tabpy-username <TabPy username> --tabpy-password <TabPy password> --tabpy-connect-timeout-ms <TabPy connect timeout>

Opzioni

--connection-type

Seleziona maestro-tabpy-secure per abilitare una connessione protetta o maestro-tabpy per abilitare una connessione non protetta. Se selezioni maestro-tabpy-secure, specifica il file di certificato -cf<percorso del file di certificato> nella riga di comando.

--tabpy-host

Host

--tabpy-port

Porta

--tabpy-username

Nome utente

--tabpy-password

Password

--tabpy-connect-timeout-ms

Timeout della connessione in millisecondi. Ad esempio --tabpy-connect-timeout-ms 900000.

tsm security regenerate-internal-tokens

Questo comando esegue le operazioni seguenti:

  1. Arresta Tableau Server se è in esecuzione.

  2. Genera nuovi certificati SSL interni per il repository Postgres sul server di ricerca.

  3. Genera nuove password per tutte le password gestite internamente.

  4. Aggiorna tutte le password del repository Postgres.

  5. Genera una nuova chiave di crittografia per la gestione della chiave di risorsa e crittografa i dati della chiave di risorsa con la nuova chiave.

  6. Genera una nuova chiave di crittografia per i segreti di configurazione (chiave master) e codifica la configurazione con essa.

  7. Riconfigura e aggiorna Tableau Server con tutti questi segreti. In una distribuzione ripartita, questo comando distribuisce anche la riconfigurazione e gli aggiornamenti su tutti i nodi del cluster.

  8. Rigenera una nuova chiave master, la aggiunge al file dell'archivio chiavi master e poi crea nuovi token di sicurezza per uso interno.

  9. Avvia Tableau Server.

Se prevedi di aggiungere un nodo al cluster dopo aver eseguito questo comando, sarà necessario generare un nuovo file di configurazione del nodo per aggiornare i token, le chiavi e i segreti generati da questo comando. Vedi Installare e configurare nodi aggiuntivi.

Per maggiori informazioni sulle password interne, consulta Gestire i segreti del server.

Riepilogo

tsm security regenerate-internal-tokens [options] [global options]

Opzioni

--request-timeout <timeout in secondi>

Facoltativo.

Attendi il tempo specificato per la fine del comando. Il valore predefinito è 1.800 (30 minuti).

tsm security repository-ssl disable

Interrompe la crittografia del traffico tra il repository e gli altri componenti del server e interrompe il supporto per le connessioni dirette dai client Tableau.

Riepilogo

tsm security repository-ssl disable [global-options]

tsm security repository-ssl enable

Abilita SSL e genera i file .crt e .key del server utilizzati per il traffico criptato tra il repository Postgres e altri componenti del server. Abilitando questa opzione hai anche la possibilità di abilitare SSL su connessioni dirette dai client Tableau al server.

Riepilogo

tsm security repository-ssl enable [options] [global options]

Opzioni

-i, --internal-only

Facoltativo. Se impostato su --internal-only, Tableau Server utilizza SSL tra il repository e altri componenti server e supporta ma non richiede SSL per connessioni dirette tramite utenti tableau o readonly .

Se questa opzione non è impostata, Tableau Server richiede SSL per il traffico tra il repository e altri componenti server, nonché per connessioni dirette da client Tableau (per connessioni tramite gli utenti tableau o readonly ).

Quando specifichi questa opzione, devi anche completare i passaggi descritti in Configurare SSL Postgres per consentire le connessioni dirette da client.

tsm security repository-ssl get-certificate-file

Consente di ottenere il file di certificato pubblico utilizzato per la comunicazione SSL con il repository di Tableau. Prima di poter recuperare un certificato, devi abilitare SSL per la comunicazione con il repository. Il file del certificato viene distribuito automaticamente ai client interni del repository nel cluster di Tableau Server. Per consentire ai client remoti di connettersi tramite SSL al repository, devi copiare il file del certificato pubblico su ciascun client.

Riepilogo

tsm security repository-ssl get-certificate-file [global-options]

Opzioni

-f, --file

Obbligatorio.

Percorso completo e nome file (con estensione .cert) dove salvare il file del certificato. Se esiste un file duplicato, verrà sovrascritto.

tsm security repository-ssl list

Restituisce la configurazione SSL del repository esistente (Postgres).

Riepilogo

tsm security repository-ssl list [global-options]

Opzioni globali

-h, --help

Facoltativo.

Mostra il comando guida.

-p, --password <password>

Obbligatorio, insieme a -u o --username se non è attiva nessuna sessione.

Specifica la password per l'utente specificato in -u o --username.

Se la password include spazi o caratteri speciali, inseriscila tra virgolette:

--password 'my password'

-s, --server https://<hostname>:8850

Facoltativo.

Utilizza l'indirizzo specificato per Tableau Services Manager. L'URL deve iniziare con https, includere la porta 8850 e usare il nome del server, non l'indirizzo IP. Ad esempio https://<tsm_hostname>:8850. Se non viene specificato nessun server, si presume https://<localhost | dnsname>:8850.

--trust-admin-controller-cert

Facoltativo.

Utilizza questo flag per considerare attendibile il certificato autofirmato nel controller TSM. Per ulteriori informazioni sull'attendibilità del certificato e le connessioni dell'interfaccia della riga di comando, consulta Connettere i client TSM.

-u, --username <utente>

Obbligatorio se non è attiva nessuna sessione, insieme a -p o --password.

Specifica un account utente. Se non includi questa opzione, il comando viene eseguito utilizzando le credenziali con cui hai effettuato l'accesso.

Grazie per il tuo feedback. Si è verificato un errore durante l'invio del feedback. Riprova o scrivici.