Tableau Server on Linux ヘルプ

独立したゲートウェイの TLS サポートは、Tableau Server 2022.1.2 以降で提供されています。

Tableau Server と Tableau Server の独立したゲートウェイはどちらも、OpenSSL で構築された SSL モジュール (mod_ssl) を使用して、トランスポート レイヤー セキュリティ (TLS) 機能を実装します。

TLS の構成は複雑でセキュリティに影響されやすいため、Apache httpd の TLS に精通している IT 専門家が計画および実装することをお勧めします。

多くの場合、既存の TSM または Apache httpd 構成のプロパティまたは概念との互換性を保つために、物事の名前に "SSL" を使用します。"SSL" とは、現在は安全でなく、廃止されていると見なされているプロトコル バージョンを指します。しかし、従来の名前は存続したままで、慣例として TLS と同じ意味でよく使用されています。Tableau Server と独立したゲートウェイでは、SSL 時代のプロトコルはサポートされていません。

TLS 構成の例

エンド ツー エンドの TLS 構成の例については、企業環境への導入ガイドの「ロード バランサーから Tableau Server への SSL/TLS の構成(新しいウィンドウでリンクが開く)」を参照してください。このトピックでは、AWS 展開の Tableau Server on Linux で TLS を構成する例を段階的に示します。この例では Linux のプロセスについて説明していますが、構成例は Tableau Server on Windows にも役立ちます。

TLS 構成の概要

インターネットから Tableau Server へのパスの次のセクションのいずれかで、HTTPS の TLS を構成できます。

• 外部ネットワーク (インターネットまたはフロント エンド ロードバランサー) から独立したゲートウェイへ
• 独立したゲートウェイから Tableau Server へ
• Tableau Server から独立したゲートウェイへのハウスキーピング (HK) プロセス
  

このトピックでは、これらの各ホップを構成する手順について説明します。

独立したゲートウェイのコンピューターと Tableau Server クラスターの構成を変更する必要があります。

証明書の要件と考慮事項

独立したゲートウェイの証明書要件は、Tableau Server の "外部 SSL" に指定されているものと同じです。下記の「SSL 証明書要件」を参照してください。

その他の考慮事項:

• 証明書の管理と展開を簡素化するため、およびセキュリティのベスト プラクティスとして、信頼性の高い主要なサード パーティーの認証局 (CA) によって生成された証明書を使用することをお勧めします。または、自己署名証明書を生成するか、TLS 用の PKI からの証明書を使用することもできます。この場合、CA 証明書を信頼して証明書を検証するための構成オプションに注意してください。
• 実装で証明書チェーン ファイルを使用する必要がある場合は、ナレッジ ベースの記事「証明書チェーンを持つ証明書を使用するときに、独立したゲートウェイで TLS を構成する(新しいウィンドウでリンクが開く)」を参照してください。
• 独立したゲートウェイの複数のインスタンスを実行している場合は、証明書を各コンピューターの同じ場所 (ファイル パス) に配布する必要があります。
• 複数のノードで Tableau Server 展開を実行している場合、TSM コマンドを使用してアップロードした証明書は、ノード間で自動的に分散されます。初期ノードですべての TSM コマンドを実行します。

グローバルな TLS の構成

次の構成はグローバルです。以下の構成オプションは、tsm configuration set コマンドを使用して設定する必要のある構成キーを示します。コマンドには、--force-keys オプションを含める必要があります。

これらの値を変更する必要はほとんどありません。

キーの各ペアは同じ命名形式を共有しており、文字列 tsig が独立したゲートウェイの値を設定します。文字列 tsig を含まないキーが、Tableau Server クラスターのゲートウェイ プロセスの値を設定します。

tsig キーの値を設定しない場合、既定の Tableau Server のゲートウェイ値が使用されます。

gateway.tsig.httpd.socache または gateway.httpd.socache

既定: shmcb

代替値: dbm

プロセス間の SSL セッション キャッシュのストレージ タイプshmcb および dbm のストレージ タイプの詳細については、Apache Web サイトの「SSLSessionCache Directive(新しいウィンドウでリンクが開く)」を参照してください。

gateway.tsig.httpd.shmcb.size または gateway.httpd.shmcb.size

既定: 2048000

shmcb ストレージ タイプを使用する場合の循環バッファに使用するメモリの量 (バイト単位)

注: もう 1 つのグローバル キーは gateway.tsig.ssl.key.passphrase.dialog です。該当する場合、gateway.tsig.ssl.key.passphrase.dialog の構成は 1 つだけです。設計により、構成内のすべての暗号化された秘密キー ファイルのパス フレーズを収集します。このキーの使用方法については、このトピックの後半の該当セクションで説明します。

独立したゲートウェイへの外部 TLS

独立したゲートウェイ サーバーで TLS を終了するように外部接続を構成するプロセスは、概念的には、Tableau Server クラスターに対して "外部SSL" を構成する方法と似ています。メカニズムは異なります。TSM は、証明書とキーの情報を独立したゲートウェイのノードに自動的に配布しません。また、独立したゲートウェイは、起動時にオプションの TLS キー パスフレーズを提供する方法を自動的に提供しません。

次のステップでは、外部ソースから独立したゲートウェイのコンピューターに TLS を構成する方法について説明します。

ステップ 1: 独立したゲートウェイのコンピューターにファイルを配布する

1. 証明書と関連ファイルを、独立したゲートウェイのサービス (tsig-httpd) が読み取ることができるパーミッションがある場所に配置します。キー ファイルへのアクセスを制限して、独立したゲートウェイのサービスのみがキー ファイルを読み取ることができるようにすることをお勧めします。
2. すべてのファイル、証明書、およびキーを、すべての独立したゲートウェイのコンピューターのまったく同じ場所に配置します。独立したゲートウェイを再インストールまたはアップグレードするときにファイルが削除されないようにするため、ファイルを TSIG_INSTALL パスと TSIG_DATA パスの外側に配置します。

ステップ 2: 独立したゲートウェイのコンピューターの環境変数を更新する

独立したゲートウェイの各コンピューターで、TSIG_PORT と TSIG_PROTOCOL 環境変数を 443 (慣例により、未使用の TCP ポート番号はすべてサポートされます) および　httpsにそれぞれ設定します。

sudo su - tableau-tsig
systemctl --user restart tsig-httpd
exit

ステップ 3: Tableau Server で TLS 構成プロパティを設定する

以下の表にある TSM 構成キーのほとんどは、Apache httpd ディレクティブから派生したものです。そのため、これらの TSM 構成キーの構成値は、対応する Apache ディレクティブの有効な値に直接マッピングされます。対応するディレクティブへのリンクは、次の表に含まれています。

特定のキーが設定されていない場合、フォールバック構成が使用されることもあります。これらは、以下の表で呼び出されます。

次の表の構成オプションは、tsm configuration set コマンドを使用して設定する必要のある構成キーを示します。すべてのコマンドに --force-keys オプションを含める必要があります。例:

tsm configuration set -k gateway.tsig.ssl.enabled -v true --force-keys

構成キーを設定したら tsm pending-changes apply を実行する必要があります。

Tableau Server への独立したゲートウェイ

このセクションでは、独立したゲートウェイと Tableau Server 間の接続を暗号化する方法について説明します。

ステップ 1: Tableau Server で TLS を構成し、有効にする

「Tableau Server との双方向の外部 HTTP トラフィック用に SSL を構成する」を参照してください。

"SSL" は実際には TLS 実装であり、"外部" は Tableau Server への外部接続を指すことに注意してください。このシナリオでは、独立したゲートウェイは "外部" 接続です。

独立したゲートウェイを構成する前に、TLS を有効にして、クライアントが TLS を使用して Tableau Server に直接接続できることを確認することをお勧めします。

ステップ 2: 独立したゲートウェイのコンピューターで証明書ファイルを配布する

次のいずれかに該当する場合は、独立したゲートウェイのコンピューターで証明書ファイルを配布する必要があります。

• Tableau Server 展開の TLS 証明書に自己署名証明書または PKI 証明書を使用している。
• 独立したゲートウェイから Tableau Server への接続で相互 TLS を有効にしている。
  

独立したゲートウェイのコンピューター上のすべての TLS 関連ファイルと同様に、各コンピューターの同じパスにファイルを配置する必要があります。TLS 共有ファイルのすべてのファイル名も同じにする必要があります。

ステップ 3: Tableau Server で TLS 構成プロパティを設定する

以下の表にある TSM 構成キーのほとんどは、Apache httpd ディレクティブから派生したものです。そのため、これらの TSM 構成キーの構成値は、対応する Apache ディレクティブの有効な値に直接マッピングされます。対応するディレクティブへのリンクは、次の表に含まれています。

特定のキーが設定されていない場合、フォールバック構成が使用されることもあります。これらは、以下の表で呼び出されます。

次の表の構成オプションは、tsm configuration set コマンドを使用して設定する必要のある構成キーを示します。すべてのコマンドに --force-keys オプションを含める必要があります。例:

tsm configuration set -k gateway.tsig.ssl.enabled -v true --force-keys

構成キーを設定したら tsm pending-changes apply を実行する必要があります。

ステップ 4: ルート CA 証明書を Tableau Server にアップロードする

独立したゲートウェイのコンピューターで使用している TLS 証明書が自己署名証明書または PKI で生成された証明書である場合は、この追加のステップを実行する必要があります。独立したゲートウェイのコンピューターで使用している TLS 証明書が、信頼できるサードパーティーの認証局からの証明書である場合は、このステップをスキップできます。

独立したゲートウェイのコンピューターに使用されるルート CA 証明書を Tableau Sever の初期ノードにコピーしてから、次のコマンドを実行します。

tsm security custom-cert add -c <root-certificate-file-name>.pem
tsm pending-changes apply

Tableau Server と独立したゲートウェイの間のハウスキーピング接続

ハウスキーピング (HK) プロセスによって、バックエンドの Tableau Server 展開と独立したゲートウェイの間の構成状態が維持されます。

独立したゲートウェイがインストールされている場合、既定の構成では暗号化されていない HTTP 接続が提供されます。独立したゲートウェイは、(インストール時に定義したとおり) 、Tableau Server クラスターから発信されるハウスキーピング要求をリッスンします。

独立したゲートウェイの複数のインスタンスを実行している場合は、すべてのサーバーで TLS を使用してハウスキーピング要求を受け入れるか、TLS を使用せずにハウスキーピング要求を受け入れる必要があります。このセクションでは、HK 接続を TLS に構成する方法について説明します。このプロセスでは、Tableau Server を再起動する必要があり、ダウンタイムが発生します。

前述の TLS シナリオと同様に、HK 接続の構成変更の多くは、Tableau Server クラスターによって管理される構成プロパティで設定されます。ただし、HK TLS 構成では、独立したゲートウェイで追加のステップが必要です。

ステップ 1: 独立したゲートウェイのコンピューターにファイルを配布する

外部ネットワークと独立したゲートウェイで TLS を有効にしている場合は、HK 接続に同じ証明書とキー ファイルを使用できます。

同じアセットを使用している場合、配布する必要がある他の証明書ファイルは、Tableau Server で使用される証明書のルート CA 証明書のみです。Tableau Server によって提示された TLS 証明書が信頼できるサードパーティーの CA によって生成された場合、ルート CA 証明書を独立したゲートウェイのコンピューターにコピーする必要はありません。

1. 証明書と関連ファイルを、独立したゲートウェイのサービス (tsig-httpd) が読み取ることができるパーミッションがある場所に配置します。キー ファイルへのアクセスを制限して、独立したゲートウェイのサービスのみがキー ファイルを読み取ることができるようにすることをお勧めします。
2. すべてのファイル、証明書、およびキーを、すべての独立したゲートウェイのコンピューターのまったく同じ場所に配置します。

ステップ 2: 独立したゲートウェイのルート CA 証明書を Tableau Server の信頼ストアにインポートする

独立したゲートウェイのコンピューターで使用している TLS 証明書が自己署名証明書または PKI で生成された証明書である場合は、この追加のステップを実行する必要があります。独立したゲートウェイのコンピューターで使用している TLS 証明書が、信頼できるサードパーティーの認証局からの証明書である場合は、このステップをスキップできます。

Tableau Server にアップロードできるルート CA 証明書は 1 つだけです。したがって、ルート CA 証明書を既にアップロードしている場合は、HK 接続に使用する証明書に同じルート CA 証明書が署名されている必要があります。

独立したゲートウェイのコンピューターに使用されるルート CA 証明書を Tableau Sever の初期ノードにコピーしてから、次のコマンドを実行します。

tsm security custom-cert add -c <root-certificate-file-name>.pem
tsm pending-changes apply

ステップ 3: 独立したゲートウェイのコンピューターの環境変数を更新する

独立したゲートウェイの各コンピューターで、TSIG_HK_PROTOCOL 環境変数を https に設定します。また、TSIG_HK_PORT 環境変数を設定して、HK (既定は 21319) の代替ポートを指定することもできます。

sudo su - tableau-tsig
systemctl --user restart tsig-httpd
exit

ステップ 4: 独立したゲートウェイで httpd.conf.stub を更新する

独立したゲートウェイの各サーバーで httpd.conf.stub ファイルを更新する必要があります。httpd.conf.stub ファイルは、グローバル httpd 構成のシードに使用されます。

ファイルは TSIG_DATA/config/httpd.conf.stub にあります。

デフォルトのインストールの場合: /var/opt/tableau/tableau_tsig/config/httpd.conf.stub

1. テキスト エディターで httpd.conf.stub ファイルを開きます。HK 構成の詳細を使用して <VirtualHost *:${TSIG_HK_PORT}> ブロックを更新する必要があります。次の例は、必要な変更を示しています。

   <VirtualHost *:${TSIG_HK_PORT}>
    SSLEngine on
    #TLS# SSLHonorCipherOrder on
    #TLS# SSLCompression off
    SSLCertificateFile /etc/ssl/certs/tsig-ssl.crt
    SSLCertificateKeyFile /etc/ssl/private/tsig-ssl.key
    SSLCACertificateFile /etc/ssl/certs/rootTS-CACert.pem 
   #TLS# SSLCARevocationFile /path/to/file
   </VirtualHost>				

   注:

   • 既定では、<VirtualHost *:${TSIG_HK_PORT}> の各行が #TLS# という文字列でコメントアウトされます。ブロック内の行を "有効" にするには、行の先頭にある #TLS# 文字列を削除します。
   • すべての httpd 構成と同様に、各参照ファイルにはファイルへの絶対パスが必要です。
   • SSLCACertificateFile は、Tableau Server によって提示される証明書を生成する CA のルート CA 証明書を指定します。これを設定する必要があるのは、Tableau Server で使用される TLS 証明書が自己署名されているか、PKI によって生成されている場合のみです。

2. tsig-httpd サービスを停止します。

   sudo su - tableau-tsig

   systemctl --user stop tsig-httpd

   exit

   この時点で、失敗したステータス チェックのを受信が開始され、独立したゲートウェイのコンポーネントが劣化していることが TSM に示されます。

3. httpd.conf.stub を httpd.conf にコピーします。

   httpd.conf ファイルは同じディレクトリにあります。 httpd.conf を httpd.conf.stub ファイルで上書きします。

   cp httpd.conf.stub httpd.conf

4. tsig-httpd サービスを開始します。

   sudo su - tableau-tsig
   systemctl --user start tsig-httpd
   exit

   この時点で、失敗したステータス チェックを引き続き受信し、独立したゲートウェイのコンポーネントが劣化していることが TSM に示されます。これらのステータ スチェックは、次のステップに従って構成を完了するまで失敗します。

ステップ 5: TLS 構成プロパティを Tableau Server に設定する

構成の変更を適用するには、サーバーを再起動する必要があります。長いタイムアウト時間を回避するため、ここで設定した変更を適用する前にサーバーを停止することをお勧めします。ステップ 6 では、更新コマンドを実行してから、TSM を再始動します。この段階で TSM を停止させることで、ダウンタイムが短くなります。

1. TSM を停止します。次のコマンドを実行します。

   tsm stop

2. 以下の表にある TSM 構成キーのほとんどは、Apache httpd ディレクティブから派生したものです。そのため、これらの TSM 構成キーの構成値は、対応する Apache ディレクティブの有効な値に直接マッピングされます。対応するディレクティブへのリンクは、次の表に含まれています。

   プレフィックスに hk ノードを含むTSM の構成プロパティ名があります: gateway.tsig.hk.xyz.abc。設定されている場合、これらの値は HK TLS 構成に使用されます。設定されていない場合、多くの構成プロパティは gateway.tsig.xyz.abc へのフォールバックを使用しますが、gateway.xyz.abc にフォールバックする場合としない場合があります。フォールバック構成プロパティは、関連する場合に一覧表示されます。

   次の表の構成オプションは、tsm configuration set コマンドを使用して設定する必要のある構成キーを示します。すべてのコマンドに --force-keys オプションを含める必要があります。例:

   tsm configuration set -k gateway.tsig.hk.ssl.enabled -v true --force-keys

   構成プロパティ	説明	対応する Apache ディレクティブ
   gateway.tsig.hk.ssl.enabled (フォールバックなし)	必須。 TLS を有効にします。true に設定する必要があります。	N/A
   gateway.tsig.hk.ssl.cert.file_name フォールバック: Gateway.tsig.ssl.cert.file_name	独立したゲートウェイの証明書ファイルのパス + ファイル名。例: /etc/ssl/certs/tsig-ssl.crt	SSLCertificateFile(新しいウィンドウでリンクが開く)
   Gateway.tsig.hk.ssl.key.file_name フォールバック: Gateway.tsig.ssl.key.file_name	独立したゲートウェイの証明書キー ファイルのパス + ファイル名例: /etc/ssl/keys/tsig-ssl.key	SSLCertificateKeyFile(新しいウィンドウでリンクが開く)
   Gateway.tsig.ssl.key.passphrase.dialog (グローバル プロパティ)	キーにパスフレーズが必要な場合は、Apache httpd SSLPassPhraseDialog ディレクティブで期待される正しい文字列を使用してこのキーを構成する必要があります。 この構成は、独立したゲートウェイに対してグローバルです。	SSLPassPhraseDialog(新しいウィンドウでリンクが開く)
   Gateway.tsig.hk.ssl.protocols フォールバック: Gateway.tsig.ssl.protocols ssl.protocols	サポートされている SSL/TLS のバージョンを指定します。既定の構成については、「セキュリティ強化チェックリスト」を参照してください。	SSL プロトコル(新しいウィンドウでリンクが開く)
   Gateway.tsig.hk.ssl.ciphersuite フォールバック: Gateway.tsig.ssl.ciphersuite ssl.ciphersuite	クライアントが SSL 接続をネゴシエートするのを許可する暗号を指定します。	SSLCipherSuite(新しいウィンドウでリンクが開く)
   Gateway.tsig.hk.ssl.client_certificate_login.required (フォールバックなし)	この値を true に設定し、この接続で相互 TLS を有効にします。 また、gateway.tsig.hk.ssl.cacert.file プロパティを以下のように設定する必要があります。	N/A
   Gateway.tsig.hk.ssl.cacert.file フォールバック: Gateway.tsig.ssl.cacert.file	クライアント認証プロセス用に連結された CA 証明書を含むファイルを指定します。	SSLCACertificateFile(新しいウィンドウでリンクが開く)
   Gateway.tsig.hk.ssl.revocation.file フォールバック: Gateway.tsig.hk.ssl.revocation.file	独立したゲートウェイに接続するクライアントの連結 CA 失効リストを含むファイルを指定します。	SSLCARevocationFile(新しいウィンドウでリンクが開く)

3. 変更を適用します。次のコマンドを実行します。

   tsm pending-changes apply。

ステップ 6: 独立したゲートウェイの JSON 構成ファイルを更新する

最後のステップでは、https への切り替えを反映した JSON ファイルで独立したゲートウェイの構成を更新します。また、該当する場合は、他のポート番号も更新します。

このファイルの編集の詳細については、インストールのトピックを参照してください。「ステップ 3: Tableau Server で独立ゲートウェイを有効化」を参照してください。

JSON ファイルを更新したら、次のコマンドを実行します。

tsm topology external-services gateway update -c tsig.json
tsm start

トラブルシューティング

トラブルシューティングのヒントについては、企業環境への導入ガイド (EDG) の「Tableau Server の独立したゲートウェイのトラブルシューティング(新しいウィンドウでリンクが開く)」を参照してください。EDG には、Tableau Server on Linux の展開例が記載されています。トラブルシューティングのステップは、Tableau Server の Windows または Linux バージョンに対応しています。