mutualSSLSettings-entiteit
Controleer SSL configureren voor extern HTTP-verkeer naar en vanaf Tableau Server voordat u wederkerige SSL configureert.
De mutualSSLSettings
-entiteit combineert zowel SSL- als wederkerige SSL-configuratie. Voor wederkerige SSL is het vereist dat externe SSL is ingeschakeld en correct is geconfigureerd.
De TSM-entiteiten gebruiken JSON en sleutel/waarde-paren. Gebruik de onderstaande configuratiebestandsjabloon om een .json-bestand te maken. Geef waarden op voor de juiste sleutels voor uw omgeving en geef vervolgens het .json-bestand door aan Tableau Server met de volgende opdrachten:
tsm settings import -f <path-to-file.json>
tsm pending-changes apply
Als voor de in behandeling zijnde wijzigingen de Server opnieuw moet worden opgestart, geeft de opdracht pending-changes apply
een prompt weer om u te laten weten dat de server opnieuw wordt gestart. Deze prompt verschijnt ook als de server is gestopt, maar in dat geval vindt er geen herstart plaats. U kunt de prompt onderdrukken met de optie --ignore-prompt
, maar dit verandert niets aan het herstartgedrag. Als opnieuw opstarten niet nodig is voor de wijzigingen, worden de wijzigingen zonder waarschuwing van een prompt toegepast. Zie tsm pending-changes apply voor meer informatie.
Configuratiesjabloon
Gebruik deze sjabloon om wederkerige SSL-instellingen te configureren.
Belangrijk: Alle entiteitsopties zijn hoofdlettergevoelig.
Zie Voorbeeld van configuratiebestand voor meer uitleg over configuratiebestanden, entiteiten en sleutels.
{ "configEntities": { "mutualSSLSettings": { "_type": "mutualSSLSettingsType", "sslEnabled": true, "proxyLogin": false, "clientCertRequired": true, "caCertFile": "required", "keyFileName": "required", "keyPassphrase": "", "chainFile": "", "revocationFile": "", "redirect": false, "fallbackToPassword": true, "protocols": "", "cipherSuite": "", "forceHttpsForPublicEmbed": false } } }
Referentie configuratiebestand
- sslEnabled
Schakel SSL in. Dit is een vereiste om wederkerige SSL mogelijk te maken.
clientCertRequired (MutualSSL)
Stel deze optie in op 'true' om wederkerige SSL-verificatie mogelijk te maken. Stel in op 'false' om dit uit te schakelen.
- caCertFile (MutualSSL)
Vereist.
Geef het door de CA uitgegeven certificaatbestand voor tweerichting-SSL op. Het bestandspad moet leesbaar zijn voor Tableau Server.
certFileName
Geef het bestand op dat de aaneenschakeling van alle PEM-versleutelde CA-certificaten bevat die de certificaatketen voor het servercertificaat vormen.
Als alternatief kan het referentiebestand hetzelfde zijn als caCertFile wanneer de CA-certificaten voor het gemak rechtstreeks aan het servercertificaat worden toegevoegd.
keyFileName
Als de sleutel niet met het certificaat is gecombineerd, gebruikt u deze configuratiesleutel om naar het sleutelbestand te verwijzen. Als u zowel een RSA- als een DSA-privésleutel hebt, kunt u beide parallel configureren (bijvoorbeeld om ook het gebruik van DSA-versleuteling toe te staan).
keyPassphrase
Optioneel. Wachtwoordzin voor het certificaatbestand. De wachtwoordzin die u invoert, wordt tijdens de rust gecodeerd.
Opmerking: Als u een certificaatsleutelbestand met een wachtwoordzin maakt, kunt u de SSL-certificaatsleutel niet opnieuw gebruiken voor SAML.
revocationFile
Specificeert het bestandspad voor een SSL CA Certificate Revocation List-bestand (.crl).
Redirect
Standaard: True. Geeft aan of Tableau Server http-verzoeken moeten omleiden als https-verzoeken naar het juiste eindpunt.
clientCertMapping (MutualSSL)
Specificeert de methode voor het ophalen van de gebruikersnaam uit het certificaat.
Geaccepteerde waarden:
ldap
,upn
,cn
Voor een server die lokale verificatie gebruikt, is de standaardinstelling
upn
(User Principal Name).Wanneer Tableau Server-verificatie is geconfigureerd voor Active Directory (AD), is de standaardinstelling
ldap
(Lightweight Directory Access Protocol). Hiermee wordt de server opgedragen om naar AD te gaan om de gebruiker te valideren en dat de namen in het certificaat moet worden genegeerd.
U kunt
cn
instellen voor beide verificatietypen om de CN in de onderwerp-DN in het certificaat te gebruiken.Zie Een clientcertificaat toewijzen aan een gebruiker bij wederkerige verificatie voor meer informatie.
fallbackToPassword (MutualSSL)
Als u deze optie op 'true' instelt, krijgen gebruikers de mogelijkheid om zich via hun gebruikersnaam en wachtwoord aan te melden bij Tableau Server als wederkerige SSL-verificatie mislukt. Stelt dit in op 'false' om deze terugvaloptie niet toe te staan.
protocols
Vermeld de versies van het Transport Layer Security (TLS)-protocol dat u wilt toestaan of niet toestaan.
Standaardwaarde:
"all -SSLv2 -SSLv3"
Wij raden echter aan de volgende instelling te gebruiken:
"all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1"
Zie tsm security external-ssl enable voor meer informatie. Zie de online documentatie van Apache voor algemene informatie.
cipherSuite
Geef de versleutelingen op die SSL wel of niet mag gebruiken.
Standaardwaarde:
"HIGH:MEDIUM:!aNULL:!MD5:!RC4:!3DES:!CAMELLIA:!IDEA:!SEED"
Zie de pagina OpenSSL-versleuteling(Link wordt in een nieuw venster geopend) voor de lijstopmaak van versleuteling. Wees voorzichtig wanneer u deze optie wijzigt. De standaardwaarden staan geen versleutelingen toe die niet langer als voldoende veilig worden beschouwd.
proxyLogin
Standaard: false. Geeft aan dat Tableau Server alleen een proxy voor SSL gebruikt bij het aanmelden. Hiermee wordt het protocol beheerd dat de server aan Tableau Desktop rapporteert voor aanmeldings-API's.
forceHTTPForPublicEmbed
Standaardwaarde: false. Dwingt de code voor ingesloten weergaven om SSL te gebruiken.