Versleuteld kanaal voor externe LDAP-identiteitenarchief configureren

Een Tableau Server die is geconfigureerd om verbinding te maken met een extern LDAP-identiteitenarchief, moet een query uitvoeren op de LDAP-directory en een sessie tot stand brengen. Het proces van het instellen van een sessie wordt binding genoemd. Er zijn meerdere manieren om te binden. Tableau Server ondersteunt twee methoden voor binding aan een LDAP-directory:

  • Eenvoudig binden: hiermee wordt een sessie tot stand gebracht door verificatie met een gebruikersnaam en wachtwoord. Tableau Server probeert standaard StartTLS om sessies te versleutelen wanneer verbinding wordt gemaakt met Windows Active Directory. Als Tableau Server een geldig TLS-certificaat heeft, wordt de sessie versleuteld. Anders wordt LDAP met eenvoudige binding niet versleuteld. Als u LDAP met eenvoudige binding configureert, raden we u sterk aan LDAP via SSL/TLS in te schakelen.

  • GSSAPI-binding: GSSAPI gebruikt Kerberos voor verificatie. Mits geconfigureerd met een keytab-bestand is verificatie tijdens GSSAPI-binding veilig. Het daaropvolgende verkeer naar de LDAP-server wordt echter niet versleuteld. We raden aan om LDAP te configureren via SSL/TLS. Belangrijk: StartTLS wordt niet ondersteund voor GSSAPI-binding met Active Directory.

    Als u Tableau Server in Linux uitvoert op een computer die lid is van een Active Directory-domein, kunt u GSSAPI configureren. Zie LDAP met GSSAPI (Kerberos)-binding.

In dit onderwerp wordt beschreven hoe u het kanaal voor eenvoudige LDAP-binding kunt versleutelen voor communicatie tussen Tableau Server en LDAP-directoryservers.

Certificaatvereisten

  • U hebt een geldig PEM-gecodeerd x509 SSL/TLS-certificaat nodig dat voor versleuteling kan worden gebruikt. Het certificaatbestand moet de extensie .crt hebben.

  • Zelfondertekende certificaten worden niet ondersteund.

  • Het certificaat dat u installeert, moet Key Encipherment bevatten in het veld voor sleutelgebruik dat voor SSL/TLS moet worden gebruikt. Tableau Server gebruikt dit certificaat alleen voor het versleutelen van het kanaal naar de LDAP-server. De vervaldatum, vertrouwensrelatie, CRL en andere kenmerken worden niet gevalideerd.

  • Als u Tableau Server uitvoert in een gedistribueerde implementatie, moet u het SSL-certificaat handmatig kopiëren naar elk knooppunt in de cluster. Kopieer het certificaat alleen naar knooppunten waarop het Tableau Server Application Server-proces is geconfigureerd. In tegenstelling tot andere gedeelde bestanden in een clusteromgeving wordt het SSL-certificaat dat voor LDAP wordt gebruikt, niet automatisch gedistribueerd door de Client File Service.

  • Als u een PKI-certificaat of een certificaat van een derde partij gebruikt, uploadt u het CA-hoofdcertificaat naar de Java-vertrouwensopslag.

Certificaat importeren in de Tableau-sleutelopslag

Als er nog geen certificaten op de computer staan die voor de LDAP-server zijn geconfigureerd, moet u een SSL-certificaat voor de LDAP-server verkrijgen en dit importeren in de sleutelopslag van het Tableau-systeem.

Gebruik de Java-tool "keytool" om certificaten te importeren. Bij een standaardinstallatie wordt deze tool samen met Tableau Server op de volgende locatie geïnstalleerd:

/opt/tableau/tableau_server/packages/repository.<installer version>/jre/bin/keytool.

Met de volgende opdracht importeert u het certificaat:

sudo "<installation_directory>/packages/repository*/jre/bin/keytool -importcert -file "<cert_directory/<cert_name.crt>" -alias "<cert_alias>" -keystore /etc/opt/tableau/tableau_server/tableauservicesmanagerca.jks -storepass changeit -noprompt

Het wachtwoord voor de Java-sleutelopslag is changeit. (Wijzig het wachtwoord voor de Java-sleutelopslag niet).

Versleutelingsmethoden

Tableau Server 2021.1 en nieuwer ondersteunt twee methoden voor het versleutelen van het LDAP-kanaal voor eenvoudige binding: StartTLS en LDAPS.

  • StartTLS: dit is de standaardconfiguratie voor communicatie met Active Directory in Tableau Server 2021.2. Vanaf Tableau Server 2021.2 wordt TLS afgedwongen voor LDAP-verbindingen met eenvoudige binding met Active Directory. Deze standaard TLS-configuratie wordt afgedwongen voor zowel nieuwe installaties als upgradescenario's.

    Opmerking: StartTLS wordt alleen ondersteund op Tableau Server op Linux bij communicatie met Active Directory en eenvoudige binding. StartTLS wordt niet ondersteund voor communicatie met andere LDAP-servertypen of met GSSAPI.

    De StartTLS-methode werkt door een onveilige verbinding tot stand te brengen met de Active Directory-server. Na een client-server-onderhandeling wordt de verbinding geüpgraded naar een TLS-versleutelde verbinding. Als standaardconfiguratie vereist dit scenario alleen een geldig TLS-certificaat op Tableau Server. Er is geen andere configuratie vereist.

  • LDAPS: Secure LDAP, of LDAPS, is een standaard versleuteld kanaal dat meer configuratie vereist. Met name moet u naast een TLS-certificaat op Tableau Server ook de hostnaam en de beveiligde LDAP-poort voor de doel-LDAP-server instellen.

    LDAPS wordt ondersteund op elke LDAP-server, inclusief Active Directory-servers.

Versleuteld kanaal voor eenvoudige binding configureren

In deze sectie wordt beschreven hoe u Tableau Server kunt configureren om een versleuteld kanaal te gebruiken voor eenvoudige LDAP-binding.

Wanneer configureren

U moet Tableau Server configureren om een versleuteld kanaal te gebruiken voor eenvoudige LDAP-binding voordat Tableau Server wordt geïnitialiseerd, of als onderdeel van de configuratie van het eerste knooppunt, zoals vermeld op het tabblad TSM-CLI gebruiken in Initiële knooppuntinstellingen configureren.

Voor nieuwe installaties van Tableau Server

Als uw organisatie een andere LDAP-directory dan Active Directory gebruikt, kunt u de TSM GUI-installatie niet gebruiken om het identiteitenarchief te configureren als onderdeel van de Tableau Server-installatie. In plaats daarvan moet u JSON-entiteitsbestanden gebruiken om het LDAP-identiteitenarchief te configureren. Zie identityStore-entiteit.

Voordat u de identityStore-entiteit configureert, importeert u een geldig SSL/TLS-certificaat in de Tableau-sleutelopslag, zoals eerder in dit onderwerp beschreven.

Voor het configureren van LDAPS moet u de hostnaam- en sslPort-opties instellen in het IdentityStore JSON-bestand.

Voor nieuwe installaties in een Active Directory-omgeving

Als u Active Directory als extern identiteitenarchief gebruikt, moet u de GUI-versie van Tableau Server-configuratie uitvoeren. In tegenstelling tot het CLI-proces voor het installeren van Tableau Server bevat de GUI-versie van de configuratie logica om de Active Directory-configuratie te vereenvoudigen en te valideren.

De GUI van Tableau Server-configuratie waarin u Active Directory configureert, wordt hier weergegeven.

Als u een nieuwe instantie van Tableau Server op Linux installeert en u een geldig SSL/TLS-certificaat in de Tableau-sleutelopslag hebt geïnstalleerd, raden we u aan de standaardoptie ingesteld te laten op StartTLS.

Als u voor LDAPS wilt configureren, voert u de hostnaam en beveiligde poort (meestal 636) voor de LDAP-server in voordat u de LDAPS-optie selecteert.

U kunt na de installatie in deze configuraties wijzigingen aanbrengen door u aan te melden bij de TSM Web UI en door te klikken op het tabblad Configuratie, op Gebruikersidentiteit en -toegang en op Identiteitenarchief.

Upgradescenario's

Als u een upgrade uitvoert naar versie 2021.2 (of nieuwer) van Tableau Server en als u Active Directory als extern identiteitenarchief gebruikt, wordt het versleutelde kanaal afgedwongen voor LDAP-verbindingen met eenvoudige binding. Als u geen versleuteld kanaal hebt geconfigureerd, mislukt de upgrade.

Voor een geslaagde upgrade naar versie 2021.2 of nieuwer moet een van de volgende dingen het geval zijn:

  • De bestaande Tableau Server-installatie is al geconfigureerd voor LDAPS en bevat een certificaat in de Tableau-sleutelopslag.
  • Er is vóór de upgrade een geldig SSL/TLS-certificaat aanwezig in de Tableau-sleutelopslag. In dit scenario schakelt de standaard StartTLS-configuratie een versleuteld kanaal in.
  • Het versleutelde LDAP-kanaal is uitgeschakeld zoals beschreven in de volgende sectie.

Het standaard versleutelde LDAP-kanaal uitschakelen

Als u Tableau Server in Linux gebruikt en verbinding maakt met Active Directory, kunt u de eis van versleutelde kanalen uitschakelen.

Als dit is uitgeschakeld, worden gebruikersreferenties voor het tot stand brengen van de bindsessie met Active Directory in platte tekst gecommuniceerd tussen Tableau Server en de Active Directory-server.

Nieuwe installatie uitschakelen

Als u Active Directory als identiteitenarchief gaat gebruiken, moet u de TSM-GUI gebruiken om de Active Directory-verbinding te configureren. Zie Initiële knooppuntinstellingen configureren.

Selecteer LDAP (niet-versleuteld kanaal) wanneer u de configuratie uitvoert.

Uitschakelen voordat u een upgrade uitvoert

Als u een upgrade uitvoert naar Tableau Server 2021.2 (of nieuwer) vanuit een eerdere versie, voert u de volgende opdrachten uit op een eerdere versie van Tableau Server voordat u de upgrade uitvoert:

tsm configuration set -k wgserver.domain.ldap.starttls.enabled -v false --force-keys
tsm pending-changes apply

Als u wilt controleren of de sleutel is ingesteld, voert u de volgende opdracht uit:

tsm configuration get -k wgserver.domain.ldap.starttls.enabled

De opdracht zou false moeten retourneren.

Foutberichten

De volgende foutmeldingen worden mogelijk weergegeven of in het logboek opgenomen. Als u deze fouten ziet, doet u het volgende:

  • Controleer of uw certificaat geldig is en geïmporteerd is in de Tableau-sleutelopslag, zoals eerder in dit onderwerp beschreven.
  • (Alleen LDAPS) - Controleer of de host- en poortnaam correct zijn.

In de configuratie-GUI

Als u LDAPS of StartTLS verkeerd hebt geconfigureerd tijdens het uitvoeren van de configuratie of Upgrade-GUI, wordt de volgende foutmelding weergegeven.

TLS handshake failed. Tableau Server and the Active Directory server could not negotiate a compatible level of security.

Vizportal-logboeken

Als u LDAPS of StartTLS configureert met behulp van CLI, wordt het volgende foutbericht niet weergegeven. In plaats daarvan wordt de fout vastgelegd in de vizportal-logboeken op /var/opt/tableau/tableau_server/data/tabsvc/logs/vizportal.

Authentication with LDAP server failed. The provided credentials or configuration are either incorrect or do not have the necessary permissions to bind.
Bedankt voor uw feedback.De feedback is verzonden. Dank u wel.