Configurare il canale crittografato per l’archivio identità esterno LDAP

Tableau Server configurato per la connessione a un archivio identità LDAP esterno deve eseguire una query sulla directory LDAP e stabilire una sessione. Il processo di creazione di una sessione è denominato binding. Esistono numerose soluzioni per il binding. Tableau Server supporta due metodi di binding a una directory LDAP:

  • Binding semplice. Stabilisce una sessione eseguendo l’autenticazione con nome utente e password. Per impostazione predefinita, Tableau Server tenterà di utilizzare StartTLS per crittografare le sessioni durante la connessione a Windows Active Directory. Se Tableau Server dispone di un certificato TLS valido, la sessione verrà crittografata. In caso contrario, LDAP con il binding semplice non è crittografato. Se configuri LDAP con binding semplice, è consigliabile attivare LDAP su SSL/TLS.

  • Binding GSSAPI: GSSAPI utilizza Kerberos per l’autenticazione. Se configurata con un file keytab, l’autenticazione è sicura durante il binding GSSAPI. Tuttavia, il traffico successivo verso il server LDAP non è crittografato. È consigliabile configurare LDAP su SSL/TLS. Importante: StartTLS non è supportato per il binding GSSAPI con Active Directory.

    Se esegui Tableau Server su Linux in un computer aggiunto a un dominio Active Directory, puoi configurare GSSAPI. Vedi LDAP con binding GSSAPI (Kerberos).

In questo argomento viene descritto come crittografare il canale per un binding LDAP semplice per le comunicazioni tra Tableau Server e i server di directory LDAP.

Requisiti del certificato

  • Devi disporre di un certificato SSL/TLS x509 con codifica PEM valido utilizzabile per la crittografia. Il file certificato deve avere l’estensione .crt.

  • I certificati autofirmati non sono supportati.

  • Il certificato installato deve includere Key Encipherment nel campo della chiave da utilizzare per SSL/TLS. Tableau Server utilizzerà questo certificato solo per crittografare il canale per il server LDAP. La scadenza, l’attendibilità, l’elenco CRL e altri attributi non vengono convalidati.

  • Se esegui Tableau Server in una distribuzione distribuita, devi eseguire la copia manuale del certificato SSL in ogni nodo del cluster. Copia il certificato solo in quei nodi in cui è configurato il processo dell’applicazione del server di Tableau Server. A differenza di altri file condivisi in un ambiente cluster, il certificato SSL utilizzato per LDAP non sarà distribuito automaticamente dal servizio file client.

  • Se utilizzi un certificato PKI o non di terze parti, carica il certificato radice CA nell’archivio attendibilità Java.

Importare un certificato nell’archivio delle chiavi di Tableau

Se non dispone già di certificati nel computer configurato per il server LDAP, dovrai ottenere un certificato SSL per il server LDAP e importarlo nel sistema dell’archivio delle chiavi di Tableau.

Utilizza lo strumento Java "keytool" per importare i certificati. In un’installazione predefinita, questo strumento viene installato con Tableau Server nel seguente percorso:

/opt/tableau/tableau_server/packages/repository.<installer version>/jre/bin/keytool.

Il comando seguente importa il certificato:

sudo "<installation_directory>/packages/repository*/jre/bin/keytool -importcert -file "<cert_directory/<cert_name.crt>" -alias "<cert_alias>" -keystore /etc/opt/tableau/tableau_server/tableauservicesmanagerca.jks -storepass changeit -noprompt

La password per l’archivio delle chiavi Java è changeit. Non modificare la password dell’archivio delle chiavi Java.

Metodi di crittografia

Tableau Server 2021.1 e versioni successive supportano due metodi per crittografare il canale LDAP per il binding semplice: StartTLS e LDAPS.

  • StartTLS: questa è la configurazione predefinita per la comunicazione con Active Directory in Tableau Server 2021.2. A partire da Tableau Server 2021.2, viene utilizzato TLS per le connessioni LDAP con binding semplice ad Active Directory. Questa configurazione TLS predefinita viene applicata sia per le nuove installazioni che per gli scenari di upgrade.

    Nota: StartTLS è supportato solo in Tableau Server su Linux per la comunicazione con Active Directory e binding semplice. StartTLS non è supportato per la comunicazione con altri tipi di server LDAP o con GSSAPI.

    Il metodo StartTLS opera stabilendo una connessione non protetta con il server Active Directory. Dopo una negoziazione client-server, viene eseguito l’upgrade della connessione a una connessione crittografata TLS. Essendo la configurazione predefinita, questo scenario richiede solo un certificato TLS valido in Tableau Server. Non sono richieste altre configurazioni.

  • LDAPS: LDAP protetto, o LDAPS, è un canale crittografato standard che richiede una maggiore configurazione. In particolare, oltre a un certificato TLS in Tableau Server, devi impostare il nome host e la porta LDAP protetta per il server LDAP di destinazione.

    LDAPS è supportato in qualsiasi server LDAP, inclusi i server Active Directory.

Configurare il canale crittografato per il binding semplice

In questa sezione viene descritto come configurare Tableau Server per l’utilizzo di un canale crittografato per il binding semplice LDAP.

Quando eseguire la configurazione

Devi configurare Tableau Server per utilizzare un canale crittografato per il binding semplice LDAP prima che Tableau Server venga inizializzato o come parte della configurazione del nodo iniziale, come indicato nella scheda "Usare l’interfaccia della riga di comando di TSM" in Configurare le impostazioni iniziali dei nodi.

Per le nuove installazioni di Tableau Server

Se l’organizzazione utilizza una directory LDAP diversa da Active Directory, non puoi utilizzare l’installazione con interfaccia grafica di TSM per configurare l’archivio identità come parte dell’installazione di Tableau Server. Devi invece utilizzare i file di entità JSON per configurare l’archivio identità LDAP. Vedi Entità identityStore.

Prima di configurare l’entità identityStore, importa un certificato SSL/TLS valido nell’archivio delle chiavi di Tableau, come documentato in precedenza in questo argomento.

La configurazione di LDAPS richiede l’impostazione delle opzioni hostname e sslPort nel file JSON identityStore.

Per le nuove installazioni in un ambiente Active Directory

Se utilizzi Active Directory come archivio identità esterno, devi eseguire la versione con interfaccia grafica del programma di installazione di Tableau Server. A differenza del processo CLI per l’installazione di Tableau Server, la versione con interfaccia grafica del programma di installazione include la logica per semplificare e convalidare la configurazione di Active Directory.

L’interfaccia grafica del programma di installazione di Tableau Server per la configurazione di Active Directory è illustrata di seguito.

Se stai installando una nuova istanza di Tableau Server in Linux e disponi di un certificato SSL/TLS valido installato nell’archivio delle chiavi di Tableau, è consigliabile mantenere l’opzione predefinita impostata su StartTLS.

Se desideri eseguire la configurazione per LDAPS, immetti il nome host e la porta protetta (in genere 636) per il server LDAP prima di selezionare l’opzione LDAPS.

Puoi apportare modifiche a queste configurazioni dopo l’installazione accedendo all’interfaccia utente Web di TSM, facendo clic sulla scheda Configurazione, su Identità e accesso utente e quindi su Archivio identità.

Scenari di upgrade

Se esegui l’upgrade a una versione 2021.2 (o successiva) di Tableau Server e utilizzi Active Directory come archivio identità esterno, viene utilizzato il canale crittografato per le connessioni LDAP con binding semplice. Se hai configurato un canale crittografato, l’upgrade avrà esito negativo.

Per eseguire correttamente l’upgrade alla versione 2021.2 o successiva, deve essere vera una delle seguenti condizioni:

  • L’installazione esistente di Tableau Server è già stata configurata per LDAPS e include un certificato nell’archivio delle chiavi di Tableau.
  • Un certificato SSL/TLS valido è presente nell’archivio delle chiavi di Tableau prima dell’upgrade. In questo scenario, la configurazione StartTLS predefinita abiliterà un canale crittografato.
  • Il canale LDAP crittografato è stato disabilitato come descritto nella sezione seguente.

Disabilitare il canale LDAP crittografato predefinito

Se esegui Tableau Server su Linux e ti connetti ad Active Directory, puoi disabilitare il requisito per il canale crittografato.

Se l’opzione è disabilitata, le credenziali utente utilizzate per stabilire la sessione di binding con Active Directory vengono comunicate in testo non crittografato tra Tableau Server e il server Active Directory.

Disabilitare la nuova installazione

Se prevedi di utilizzare Active Directory come archivio identità, devi utilizzare l’interfaccia grafica di TSM per configurare la connessione ad Active Directory. Consulta Configurare le impostazioni iniziali dei nodi.

Seleziona LDAP (canale non crittografato) durante l’esecuzione del programma di installazione.

Disabilitare prima dell’upgrade

Se stai eseguendo l’upgrade a Tableau Server 2021.2 (o versione successiva) da una versione precedente, esegui questi comandi nella versione precedente di Tableau Server prima di eseguire l’upgrade:

tsm configuration set -k wgserver.domain.ldap.starttls.enabled -v false --force-keys
tsm pending-changes apply

Per verificare che la chiave sia stata impostata, esegui questo comando:

tsm configuration get -k wgserver.domain.ldap.starttls.enabled

Il comando dovrebbe restituire false.

Messaggi di errore

È possibile che vengano visualizzati o registrati i seguenti messaggi di errore. Se rilevi questi errori, procedi come segue:

  • Verifica che il certificato sia valido e sia stato importato nell’archivio delle chiavi di Tableau, come descritto in precedenza in questo argomento.
  • (Solo LDAPS): verifica che il nome host e la porta siano corretti.

Nell’interfaccia grafica del programma di installazione

L’errore seguente verrà visualizzato se LDAPS o StartTLS non è stato configurato correttamente durante l’esecuzione dell’interfaccia grafica di installazione o upgrade.

TLS handshake failed. Tableau Server and the Active Directory server could not negotiate a compatible level of security.

Log di Vizportal

Se configuri LDAPS o StartTLS utilizzando la CLI, il seguente messaggio di errore non verrà visualizzato. L’errore verrà invece registrato nei log di Vizportal in /var/opt/tableau/tableau_server/data/tabsvc/logs/vizportal.

Authentication with LDAP server failed. The provided credentials or configuration are either incorrect or do not have the necessary permissions to bind.
Grazie per il tuo feedback.Il tuo feedback è stato inviato. Grazie!