内部 Postgres 通信用に SSL を設定する

Postgres リポジトリと他のサーバー コンポーネントとの間の暗号化通信に SSL (TLS) を使用するよう Tableau Server を構成することができます。既定では、Tableau Server コンポーネントへの内部通信は暗号化されません。

内部 SSL のサポートを有効化する一方で、Tableau Desktop、Tableau Mobile、REST API、Web ブラウザーなどの Tableau クライアントからリポジトリへの直接接続のサポートを構成することもできます。

  1. サーバー管理者がブラウザーで TSM を開きます。

    https://<tsm-computer-name>:8850

    詳細については、「Tableau サービス マネージャーの Web UI へのサインイン」を参照してください。

  2. [構成] タブで [セキュリティ] > [リポジトリ SSL] を選択します。

    TSM リポジトリ SSL 設定のスクリーンショット

  3. リポジトリ SSL で使用するオプションを 1 つ選択します。

    • すべての接続で必要 — Tableau Server の内部通信に SSL を使用します。また、tableaureadonly ユーザーを使用しているクライアントなど、postgres リポジトリに直接接続する Tableau クライアントや外部クライアント (Tableau 以外) では SSL が必要です。

      重要: クライアントからの直接接続を許可するよう Postgres SSL を構成するのステップを完了して、クライアント コンピューター上の正しい場所に証明書ファイルを配置しなければ、Tableau クライアントと外部 postgres クライアントは、クライアント コンピューター上の証明書とリポジトリ コンピューターからの SSL 証明書を比較して Tableau リポジトリの ID を検証することができません。

    • ユーザー接続のオプション — この機能を有効にすると、Tableau Server の内部通信に SSL が使用されます。Tableau クライアントや外部クライアントからサーバーへの直接接続では SSL がサポートされますが、必須ではありません。

    • すべての接続でオフ (既定) — サーバーの内部通信は暗号化されておらず、SSL はクライアントからの直接接続に必要ではありません。

  4. [OK] をクリックします。

    最初の 2 つのオプションでサーバーの証明書ファイルである server.crtserver.key が生成され、以下の場所に置かれます。

    /var/opt/tableau/tableau_server/data/tabsvc/config/pgsql_<version>/security

    直接接続にクライアントを構成する必要がある場合には、この .crt ファイルを使用します。

サーバー コンポーネント間の内部トラフィック用に SSL を有効にするには、次のコマンドを実行します。

tsm security repository-ssl enable

tsm pending-changes apply

コマンドの実行内容

repository-ssl enable によりサーバーの証明書ファイルが生成されます。ファイルは次の場所に配置されます。

/var/opt/tableau/tableau_server/data/tabsvc/config/pgsql_<version>/security

既定では、このコマンドは、リポジトリと他のサーバー コンポーネントとの間のトラフィック、および Tableau クライアントとの直接接続 (tableau ユーザーまたは readonly ユーザーを介した接続を含む) の場合に SSL を必要とするように Tableau Server を設定します。

この構成を完了するには、クライアントからの直接接続を許可するよう Postgres SSL を構成するで説明されている手順も完了し、証明書ファイルをクライアント コンピューターの正しい場所に置く必要があります。

保留中の変更にサーバーの再起動が必要な場合は、pending-changes apply コマンドの実行時に、再起動が行われることを知らせるメッセージが表示されます。このメッセージはサーバーが停止していても表示されますが、その場合には再起動は行われません。--ignore-prompt オプションを使用してメッセージが表示されないようにできますが、そのようにしても再起動に関する動作が変わることはありません。変更に再起動が必要ない場合は、メッセージなしで変更が適用されます。詳細については、tsm pending-changes applyを参照してください。

repository-ssl enable のオプション

Tableau Server 内部通信にのみ SSL が必要であり、クライアント アプリとの直接接続には必要ない場合、repository-ssl enable コマンドを以下のオプションと共に使用します。

--internal-only

クラスタ環境

クラスタ内のノードで repository-ssl enable を実行する場合、必要な証明書ファイルが他のノードの同じ場所にコピーされます。

直接接続用にパブリック証明書をダウンロードする詳細については、クライアントからの直接接続を許可するよう Postgres SSL を構成するを参照してください。

フィードバックをお送りいただき、ありがとうございます。フィードバックは正常に送信されました。ありがとうございます!