内部 Postgres 通信用に SSL を設定する
Postgres リポジトリと他のサーバー コンポーネントとの間の暗号化通信に SSL (TLS) を使用するよう Tableau Server を構成することができます。既定では、Tableau Server コンポーネントへの内部通信は暗号化されません。
内部 SSL のサポートを有効化する一方で、Tableau Desktop、Tableau Mobile、REST API、Web ブラウザーなどの Tableau クライアントからリポジトリへの直接接続のサポートを構成することもできます。
サーバー管理者がブラウザーで TSM を開きます。
https://<tsm-computer-name>:8850
詳細については、「Tableau サービス マネージャーの Web UI へのサインイン」を参照してください。
[構成] タブで [セキュリティ] > [リポジトリ SSL] を選択します。
リポジトリ SSL で使用するオプションを 1 つ選択します。
すべての接続で必要 — Tableau Server の内部通信に SSL を使用します。また、tableau や readonly ユーザーを使用しているクライアントなど、postgres リポジトリに直接接続する Tableau クライアントや外部クライアント (Tableau 以外) では SSL が必要です。
重要: クライアントからの直接接続を許可するよう Postgres SSL を構成するのステップを完了して、クライアント コンピューター上の正しい場所に証明書ファイルを配置しなければ、Tableau クライアントと外部 postgres クライアントは、クライアント コンピューター上の証明書とリポジトリ コンピューターからの SSL 証明書を比較して Tableau リポジトリの ID を検証することができません。
ユーザー接続のオプション — この機能を有効にすると、Tableau Server の内部通信に SSL が使用されます。Tableau クライアントや外部クライアントからサーバーへの直接接続では SSL がサポートされますが、必須ではありません。
すべての接続でオフ (既定) — サーバーの内部通信は暗号化されておらず、SSL はクライアントからの直接接続に必要ではありません。
[OK] をクリックします。
最初の 2 つのオプションでサーバーの証明書ファイルである server.crt と server.key が生成され、以下の場所に置かれます。
/var/opt/tableau/tableau_server/data/tabsvc/config/pgsql_<version>/security
直接接続にクライアントを構成する必要がある場合には、この .crt ファイルを使用します。
サーバー コンポーネント間の内部トラフィック用に SSL を有効にするには、次のコマンドを実行します。
tsm security repository-ssl enable
tsm pending-changes apply
コマンドの実行内容
repository-ssl enable
によりサーバーの証明書ファイルが生成されます。ファイルは次の場所に配置されます。
/var/opt/tableau/tableau_server/data/tabsvc/config/pgsql_<version>/security
既定では、このコマンドは、リポジトリと他のサーバー コンポーネントとの間のトラフィック、および Tableau クライアントとの直接接続 (tableau ユーザーまたは readonly ユーザーを介した接続を含む) の場合に SSL を必要とするように Tableau Server を設定します。
この構成を完了するには、クライアントからの直接接続を許可するよう Postgres SSL を構成するで説明されている手順も完了し、証明書ファイルをクライアント コンピューターの正しい場所に置く必要があります。
保留中の変更にサーバーの再起動が必要な場合は、pending-changes apply
コマンドの実行時に、再起動が行われることを知らせるメッセージが表示されます。このメッセージはサーバーが停止していても表示されますが、その場合には再起動は行われません。--ignore-prompt
オプションを使用してメッセージが表示されないようにできますが、そのようにしても再起動に関する動作が変わることはありません。変更に再起動が必要ない場合は、メッセージなしで変更が適用されます。詳細については、tsm pending-changes applyを参照してください。
repository-ssl enable のオプション
Tableau Server 内部通信にのみ SSL が必要であり、クライアント アプリとの直接接続には必要ない場合、repository-ssl enable
コマンドを以下のオプションと共に使用します。
--internal-only
クラスタ環境
クラスタ内のノードで repository-ssl enable
を実行する場合、必要な証明書ファイルが他のノードの同じ場所にコピーされます。
直接接続用にパブリック証明書をダウンロードする詳細については、クライアントからの直接接続を許可するよう Postgres SSL を構成するを参照してください。