クライアントからの直接接続を許可するよう Postgres SSL を構成する
Tableau Server が postgres リポジトリとの内部通信に SSL を使用するように構成されている場合、内部 postgres インスタンスによって提示された SSL 証明書を Tableau または外部 postgres クライアントに配布された証明書と比較することで、リポジトリに直接接続する Tableau クライアントと外部 postgres クライアントに Tableau postgres リポジトリの ID を検証するよう要求することもできます。
直接接続には、tableau ユーザーまたは readonly ユーザーを使用する接続が含まれます。Tableau クライアントの例には、Tableau Desktop、Tableau Mobile、および REST API 、Web ブラウザーが含まれます。
以下のコマンドを実行して、リポジトリの内部 SSL を有効にします。
tsm security repository-ssl enable
tsm pending-changes apply
これにより、内部 SSL のサポートが有効になり、新しいサーバー証明書とキー ファイルが生成されます。また、すべての Tableau クライアントで SSL を使用したリポジトリへの接続が必要となります。追加の repository-ssl コマンドおよびオプションについては、 tsm securityを参照してください。
保留中の変更にサーバーの再起動が必要な場合は、
pending-changes apply
コマンドの実行時に、再起動が行われることを知らせるメッセージが表示されます。このメッセージはサーバーが停止していても表示されますが、その場合には再起動は行われません。--ignore-prompt
オプションを使用してメッセージが表示されないようにできますが、そのようにしても再起動に関する動作が変わることはありません。変更に再起動が必要ない場合は、メッセージなしで変更が適用されます。詳細については、tsm pending-changes applyを参照してください。(オプション) Postgres SSL 接続を検証するようにクライアント コンピューターを構成した場合は、Tableau Server によって生成された証明書を Tableau Desktop を実行しているコンピューターにインポートする必要があります。リポジトリに直接接続する各クライアント コンピューターで、次の操作を行います。
Server.crt ファイルをクライアント コンピューターにコピーします。このファイルは以下のディレクトリにあります。
/var/opt/tableau/tableau_server/data/tabsvc/config/pgsql_<version_code>/security
注:クライアント コンピューターに server.key をコピーしないでください。このファイルはサーバー上のみに存在します。
コンピューターの証明書ストアに証明書をインポートします。
詳細については、オペレーティング システム制作会社のドキュメントを参照してください。
(オプション) Tableau Server postgres リポジトリの ID を検証するために、(Tableau 以外の) 外部 postgres クライアント (PgAdmin または Dbeaver など) を構成します。クライアントが接続で使用している postgresql JDBC ドライバーでこれを行うには、"sslmode」 ディレクティブを "verify-ca" または "verify-full" に設定します。使用する postgres ドライバーのバージョンによって、使用できるオプションが異なる場合があります。詳しくは、SSL サポートに関するドライバーのドキュメントを参照してください。