LDAP 외부 ID 저장소에 암호화된 채널 구성


외부 LDAP ID 저장소에 연결하도록 구성된 Tableau Server는 LDAP 디렉터리를 쿼리하고 세션을 설정해야 합니다. 세션을 설정하는 과정을 바인딩이라고 합니다. 바인딩 방법은 다양합니다. Tableau Server는 LDAP 디렉터리에 바인딩하는 두 가지 방법을 지원합니다.

  • 단순 바인딩: 사용자 이름과 비밀번호를 사용하여 인증하는 방식으로 세션을 설정합니다. 기본적으로 Tableau Server는 Windows Active Directory에 연결할 때 StartTLS를 통해 세션 암호화를 시도합니다. Tableau Server에 유효한 TLS 인증서가 있으면 세션이 암호화됩니다. 그렇지 않은 경우 단순 바인딩을 사용하는 LDAP는 암호화되지 않습니다. 단순 바인딩으로 LDAP를 구성하는 경우LDAP over SSL/TLS를 사용하는 것이 좋습니다.

  • GSSAPI 바인딩: GSSAPI에서는 Kerberos를 사용하여 인증합니다. keytab 파일로 구성된 경우 GSSAPI 바인딩 중에 인증 보안이 유지됩니다. 그러나 LDAP 서버에 대한 후속 트래픽은 암호화되지 않습니다. LDAP over SSL/TLS를 구성하는 것이 좋습니다. 중요: StartTLS는 Active Directory와의 GSSAPI 바인딩에 지원되지 않습니다.

    Active Directory 도메인에 가입된 컴퓨터의 Linux에서 Tableau Server를 실행하는 경우 GSSAPI를 구성할 수 있습니다. 자세한 내용은 LDAP 및 GSSAPI(Kerberos) 바인딩을 참조하십시오.

이 항목에서는 Tableau Server와 LDAP 디렉터리 서버 간의 통신을 위한 단순 LDAP 바인딩의 채널을 암호화하는 방법에 대해 설명합니다.

인증서 요구 사항

  • 암호화에 사용할 수 있는 유효한 PEM 인코딩 x509 SSL/TLS 인증서가 있어야 합니다. 인증서 파일의 확장명은 .crt여야 합니다.

  • 자체 서명 인증서는 지원되지 않습니다.

  • 설치하는 인증서는 SSL/TLS에 사용할 키 사용 필드에 Key Encipherment를 포함해야 합니다. Tableau Server는 LDAP 서버에 대한 채널을 암호화할 때만 이 인증서를 사용합니다. 만료, 신뢰, CRL 및 기타 특성은 유효성이 검사되지 않습니다.

  • 분산 배포에서 Tableau Server를 실행하는 경우 수동으로 SSL 인증서를 클러스터의 각 노드에 복사해야 합니다. Tableau Server 응용 프로그램 서버 프로세스가 구성된 노드에만 인증서를 복사하십시오. 클러스터 환경의 다른 공유 파일과 달리 LDAP에 사용되는 SSL 인증서는 클라이언트 파일 서비스에 의해 자동으로 배포되지 않습니다.

  • PKI 또는 자사 인증서를 사용하는 경우 CA 루트 인증서를 Java 신뢰 저장소에 업로드합니다.

Tableau 키 저장소로 인증서 가져오기

컴퓨터에 아직 LDAP 서버용으로 구성된 인증서가 설치되지 않은 경우 LDAP 서버용 SSL 인증서를 구해 Tableau 시스템 키 저장소로 가져와야 합니다.

"keytool" Java 도구를 사용하여 인증서를 가져옵니다. 기본 설치에서 이 도구는 Tableau Server와 함께 다음 위치에 설치됩니다.

/opt/tableau/tableau_server/packages/repository.<installer version>/jre/bin/keytool.

다음 명령은 인증서를 가져옵니다.

sudo "<installation_directory>/packages/repository*/jre/bin/keytool -importcert -file "<cert_directory/<cert_name.crt>" -alias "<cert_alias>" -keystore /etc/opt/tableau/tableau_server/tableauservicesmanagerca.jks -storepass changeit -noprompt

Java 키 저장소의 비밀번호는 changeit입니다. (Java 키 저장소의 비밀번호를 변경하지 마십시오.)

암호화 방법

Tableau Server 2021.1 이상은 단순 바인딩을 위해 LDAP 채널을 암호화하는 두 가지 방법인 StartTLS와 LDAPS를 지원합니다.

  • StartTLS: Tableau Server 2021.2에서 Active Directory 통신에 사용되는 기본 구성입니다. Tableau Server 2021.2부터 Active Directory에 대한 단순 바인딩 LDAP 연결에 TLS가 적용됩니다. 이 기본 TLS 구성은 새로 설치하는 경우와 업그레이드하는 경우에 모두 적용됩니다.

    참고: StartTLS는 Linux 기반 Tableau Server의 Active Directory 및 단순 바인딩 통신에만 지원됩니다. 다른 LDAP 서버 유형 또는 GSSAP 통신에는 StartTLS가 지원되지 않습니다.

    StartTLS 방법은 Active Directory 서버와 비보안 연결을 설정하여 작동합니다. 클라이언트-서버 협상 후 연결이 TLS 암호화 연결로 업그레이드됩니다. 기본 구성과 마찬가지로 이 시나리오에는 Tableau Server에 유효한 TLS 인증서만 필요합니다. 다른 구성은 필요하지 않습니다.

  • LDAPS: 보안 LDAP 또는 LDAPS는 추가 구성이 필요한 표준 암호화된 채널입니다. 특히 Tableau Server의 TLS 인증서 외에도 대상 LDAP 서버의 호스트 이름 및 보안 LDAP 포트를 설정해야 합니다.

    LDAPS는 Active Directory 서버를 포함한 모든 LDAP 서버에서 지원됩니다.

단순 바인딩을 위한 암호화된 채널 구성

이 섹션에서는 LDAP 단순 바인딩을 위해 암호화된 채널을 사용하도록 Tableau Server를 구성하는 방법에 대해 설명합니다.

구성 시기

Tableau Server를 초기화하기 전 또는 초기 노드 설정 구성의 “TSM CLI 사용” 탭에 언급된 대로 초기 노드를 구성할 때 LDAP 단순 바인딩을 위한 암호화된 채널을 사용하도록 Tableau Server를 구성해야 합니다.

Tableau Server를 새로 설치하는 경우

조직에서 Active Directory 이외의 LDAP 디렉터리를 사용하는 경우 TSM GUI 설치 프로그램을 사용하여 Tableau Server 설치의 일부로 ID 저장소를 구성할 수 없습니다. 대신 JSON 항목 파일을 사용하여 LDAP ID 저장소를 구성해야 합니다. 자세한 내용은 identityStore 엔터티를 참조하십시오.

identityStore 엔터티를 구성하기 전에 이 항목의 앞부분에서 설명된 대로 유효한 SSL/TLS 인증서를 Tableau 키 저장소로 가져옵니다.

LDAPS를 구성하려면 identityStore JSON 파일에서 hostname 및 sslPort 옵션을 설정해야 합니다.

Active Directory 환경에서 새로 설치하는 경우

Active Directory를 외부 ID 저장소로 사용하는 경우 GUI 버전의 Tableau Server 설치 프로그램을 실행해야 합니다. Tableau Server 설치를 위한 CLI 프로세스와 달리 GUI 버전의 설치 프로그램에는 Active Directory 구성을 단순화하고 유효성을 검사하는 논리가 포함되어 있습니다.

Active Directory를 구성하는 Tableau Server 설치 프로그램 GUI가 여기에 표시되어 있습니다.

Linux에서 Tableau Server의 새 인스턴스를 설치하고 Tableau 키 저장소에 유효한 SSL/TLS 인증서가 설치되어 있는 경우 StartTLS로 설정된 기본 옵션을 유지하는 것이 좋습니다.

LDAPS를 구성하려면 LDAP 서버의 호스트 이름 및 보안 포트(일반적으로 636)를 입력한 다음 LDAPS 옵션을 선택합니다.

TSM 웹 UI에 로그인하고 구성 탭, 사용자 ID 및 액세스, ID 저장소를 차례로 클릭하여 설치한 후 이러한 구성을 변경할 수 있습니다.

업그레이드 시나리오

2021.2 이상 버전의 Tableau Server로 업그레이드하고 Active Directory를 외부 ID 저장소로 사용하는 경우 LDAP 단순 바인딩 연결에 암호화된 채널이 적용됩니다. 암호화된 채널을 구성하지 않으면 업그레이드가 실패합니다.

버전 2021.2 이상으로 성공적으로 업그레이드하려면 다음 중 하나를 충족해야 합니다.

  • 기존 Tableau Server 설치가 LDAPS에 대해 구성되었고 Tableau 키 저장소에 인증서가 있습니다.
  • 업그레이드 전에 유효한 SSL/TLS 인증서가 Tableau 키 저장소에 있습니다. 이 시나리오에서 기본 StartTLS 구성은 암호화된 채널을 사용하도록 설정합니다.
  • 다음 섹션에 설명된 대로 암호화된 LDAP 채널을 사용하지 않도록 설정했습니다.

기본 암호화된 LDAP 채널을 사용하지 않도록 설정

Linux에서 Tableau Server를 실행하고 Active Directory에 연결하는 경우 암호화된 채널 요구 사항을 사용하지 않도록 설정할 수 있습니다.

사용하지 않도록 설정하면 Active Directory와의 바인딩 세션을 설정하는 데 사용되는 사용자 자격 증명이 Tableau Server와 Active Directory 서버 간에 일반 텍스트로 전달됩니다.

새 설치를 사용하지 않도록 설정

Active Directory를 ID 저장소로 사용할 예정인 경우 TSM GUI를 사용하여 Active Directory 연결을 구성해야 합니다. 자세한 내용은 초기 노드 설정 구성을 참조하십시오.

설치를 실행할 때 LDAP(암호화되지 않은 채널)를 선택합니다.

업그레이드 전에 사용하지 않도록 설정

이전 버전에서 Tableau Server 2021.2 이상으로 업그레이드하는 경우 업그레이드 전에 이전 버전의 Tableau Server에서 다음 명령을 실행합니다.

tsm configuration set -k wgserver.domain.ldap.starttls.enabled -v false --force-keys
tsm pending-changes apply

키가 설정되었는지 확인하려면 다음 명령을 실행합니다.

tsm configuration get -k wgserver.domain.ldap.starttls.enabled

명령은 false를 반환해야 합니다.

오류 메시지

다음 오류 메시지가 표시되거나 기록될 수 있습니다. 이러한 오류가 표시되면 다음을 수행합니다.

  • 이 항목의 앞부분에서 설명한 대로 인증서가 유효하고 Tableau 키 저장소로 가져왔는지 확인합니다.
  • (LDAPS만 해당) - 호스트 및 포트 이름이 올바른지 확인합니다.

설치 프로그램 GUI에서

설치 프로그램 또는 업그레이드 GUI를 실행할 때 LDAPS 또는 StartTLS를 잘못 구성한 경우 다음 오류가 표시됩니다.

TLS handshake failed. Tableau Server and the Active Directory server could not negotiate a compatible level of security.

Vizportal 로그

CLI를 사용하여 LDAPS 또는 StartTLS를 구성하는 경우 다음 오류 메시지가 표시되지 않습니다. 대신 vizportal 로그(/var/opt/tableau/tableau_server/data/tabsvc/logs/vizportal)에 오류가 기록됩니다.

Authentication with LDAP server failed. The provided credentials or configuration are either incorrect or do not have the necessary permissions to bind.
맨 위로 이동
피드백을 제공해 주셔서 감사합니다!귀하의 피드백이 제출되었습니다. 감사합니다!