Verificatiemodule configureren met onafhankelijke gateway

Een veelgebruikte beveiligingspraktijk is om alleen geverifieerde verzoeken door de interne firewall van de DMZ-servers te laten. De onafhankelijke gateway ondersteunt de traditionele verificatiemethoden van Tableau Server, maar bevat ook configuratie-eigenschappen waarmee u een laadbare Apache httpd-module voor aangepaste verificatie kunt integreren.

Door bijvoorbeeld SAML op Tableau Server te configureren en een aangepaste verificatiemodule te configureren, kunt u vereisen dat alle gebruikers zich verifiëren met uw IdP bij de onafhankelijke gateway. Alleen de gebruikers die zijn geverifieerd, krijgen toegang tot Tableau Server. Tableau Server kan vervolgens gebruikers verifiëren en toegang verlenen.

Zie Pre-verificatie met een AuthN-module(Link wordt in een nieuw venster geopend) in de Gids voor bedrijfsbrede implementatie voor een meer gedetailleerde uitleg van dit verificatieschema.

Om de verificatiemodule te configureren, moet u de volgende stappen uitvoeren:

  1. Genereer configuratiebestanden voor de verificatiemodule. Zodra de configuratie is voltooid, worden elke module en de bijbehorende configuratie-adresseringen behandeld als Opnemen-opties, waardoor de opgenomen bestanden logischerwijs deel uitmaken van de algehele httpd-configuratie.
  2. Kopieer de configuratiebestanden naar elke computer waarop de onafhankelijke gateway draait. Alle bestanden moeten naar dezelfde locaties op elke onafhankelijke gateway-computer worden gekopieerd. Elk bestand wordt toegewezen aan een configuratie-eigenschap die wordt beheerd door Tableau Server.
  3. Stel de configuratie-eigenschappen in met de opdracht tsm configuration set op Tableau Server.

Bewerk het httpd-configuratiebestand (httpd.conf) op de onafhankelijke gateway niet, omdat de onafhankelijke gateway logica bevat om de httpd-configuratie bij te werken op basis van wijzigingen die zijn aangebracht met TSM-opdrachten op Tableau Server.

Voorbeeld van een verificatiemoduleconfiguratie

Zie Voorbeeld van verificatieconfiguratie: SAML met externe IdP(Link wordt in een nieuw venster geopend) in de Gids voor bedrijfsbrede implementatie voor een voorbeeld van een configuratie van een end-to-end-verificatiemodule. In het voorbeeld wordt beschreven hoe u SAML installeert en configureert met Okta als IdP en de Mellon-verificatiemodule voor een Tableau Server-implementatie op Linux die wordt uitgevoerd in AWS. Hoewel het voorbeeld het proces voor Linux beschrijft, is het configuratievoorbeeld ook nuttig voor Tableau Server op Windows.

Configuratie-eigenschappen

In de volgende tabel worden de verschillende configuratiebestanden beschreven waarnaar u kunt verwijzen. Elk bestand wordt toegewezen aan een configuratie-eigenschap die is ingesteld op Tableau Server. U hoeft alleen de eigenschappen te definiëren die nodig zijn om uw aangepaste verificatieconfiguratie te formuleren. Sla alle configuratie-eigenschappen over die niet nodig zijn.

Configuratie-eigenschapBeschrijving
gateway.tsig.authn_module_blockVerschijnt aan het einde van de set van normaal geladen Apache httpd-modules. Het is de bedoeling dat het bestand een of meer LoadModule-adresseringen bevat. De modules zelf moeten worden geïdentificeerd met volledige paden.
gateway.tsig.authn_global_blockVerschijnt na alle LoadModule-referenties en vóór de meeste andere Apache httpd-adresseringen. De bedoeling is om een plek te bieden voor alle configuratie-adresseringen die nodig zijn voor de aangepaste module.
gateway.tsig.authn_globalbottom_blockVerschijnt helemaal onderaan het configuratiebestand, wederom op globaal niveau. De bedoeling is om een plek te bieden voor alle configuratie-adresseringen die nodig zijn voor de aangepaste module en die specifiek na verschillende andere adresseringen moeten komen. (Dit is waarschijnlijk niet nodig.)
gateway.tsig.authn_location_blockVerschijnt in een <Location "/">-blok, dat alle URL-paden omvat.
gateway.tsig.authn_directory_blockDit verschijnt in een <Directory "/">-blok, dat alle paden naar bestanden die door de onafhankelijke gateway worden bediend, beslaat. (Dit is waarschijnlijk niet nodig. De meeste bestanden die door onafhankelijke gateway worden bediend, zijn niet-gevoelige statische bestanden, zoals afbeeldingen en JavaScript-bestanden.)
gateway.tsig.authn_virtualhost_block

Verschijnt binnen een of twee <VirtualHost> -blokken: één voor TLS (indien ingeschakeld) en één voor niet-TLS. Als dit is geconfigureerd, wordt op beide plaatsen hetzelfde bestand opgenomen. Als u onderscheid wilt maken tussen de twee gevallen, kunt u de standaard Apache httpd HTTPS-omgevingsvariabele gebruiken.

Het <Location "/tsighk">-blok

Naast het verwachte <Location "/">-blok voor normaal verzoekverkeer, is er ook een <Location "/tsighk"> -blok dat wordt gebruikt om interne housekeeping (HK)-verzoeken voor de onafhankelijke gateway te verwerken. Deze HK-verzoeken hebben hun eigen verificatiebewaking en werken niet met standaard aangepaste SSO-oplossingen.

Mogelijk moet u uw aangepaste module expliciet uitsluiten van de verificatiepoging voor het HK-URL-pad.

Om te bepalen of u uw module moet uitsluiten, moet u eerst de module configureren. Zoek vervolgens naar HK-aanvragen in het toegangslogboek van de onafhankelijke gateway. U zou minimaal één of twee keer per minuut een statuscontrole moeten zien. Als deze verzoeken een 200-responscode ontvangen, is er waarschijnlijk niets aan de hand. Als deze verzoeken echter een 3xx-responscode ontvangen (die doorverwijst naar uw aangepaste verificatieprovider), moet u er iets aan doen.

Mogelijke oplossingen zijn:

  • Het <Location "/tsighk">-blok bevat de adressering AuthType None, en dat kan voldoende zijn.
  • De onafhankelijke gateway httpd.conf heeft de standaard Apache httpd-adressering ProxyPreserveHost(Link wordt in een nieuw venster geopend) On (in het Engels). Als er een ongewone omstandigheid is die vereist dat deze op Off of een andere waarde staat, kan die waarde worden ingesteld met het TSM-configuratie-item gateway.tsig.proxypreservehost.
  • Mogelijk hebt u een aantal modulespecifieke adresseringen nodig om uw verificatiemodule uit te schakelen voor <Location "/tsighk">. U kunt dat blok niet rechtstreeks in het httpd.conf-bestand wijzigen. In plaats daarvan kunt u nog een <Location "/tsighk">-blok maken in uw gateway.tsig.authn_global_block-bestand en Apache httpd ze logisch laten samenvoegen. Sommige versies van mod_auth_mellon, een populaire open-source verificatiemodule, vereisen bijvoorbeeld MellonEnable Off voor secties waar het niet van toepassing is, zelfs als AuthType None in die secties is ingesteld.
  • Bij het aanmaken van een extra <Location "/tsighk">-sectie, zoals beschreven in het vorige punt, kan het zijn dat de volgorde van de verschillende secties in het httpd.conf-bestand verschil maakt in hoe ze elkaar beïnvloeden. De standaard <Location "/tsighk">-sectie verschijnt vóór de standaard <Location "/">-sectie. Als uw experimenten aantonen dat een andere volgorde nodig is, moet u mogelijk nog een <Location "/">-sectie definiëren in uw gateway.tsig.authn_global_block-blok naast nog een <Location "/tsighk">-sectie, in welk geval u mogelijk niets nodig hebt in een gateway.tsig.authn_location_block-blok.

Problemen met de configuratie van de aangepaste verificatiemodule oplossen

Een handige manier om te begrijpen hoe de onafhankelijke gateway het httpd.conf-bestand samenstelt, is door de TSM-configuratie-items in te stellen met waarden die verwijzen naar lege bestanden op uw onafhankelijke gateway-computers. (De bestanden moeten bestaan, maar ze mogen leeg zijn.) U kunt vervolgens naar het httpd.conf-bestand van de onafhankelijke gateway kijken om een concreet inzicht te krijgen in waar de Include -adresseringen voor de verschillende configuratiebestanden daadwerkelijk worden weergegeven.

Configuratieproblemen in de onafhankelijke gateway httpd.conf kunnen ervoor zorgen dat de tsig-httpd-service niet kan starten. Andere configuratieproblemen kunnen de ontvangst van configuratie-updates van de onafhankelijke gateway-begeleidingsservice op het Tableau Server-cluster verstoren. Een manier om te herstellen, nadat u de oorzaak van het probleem hebt opgelost, is door TSIG_DATA/config/httpd.conf.stub te kopiëren naar TSIG_DATA/config/httpd.conf en de tsig-httpd-service opnieuw te starten.

Zie Problemen met de onafhankelijke gateway van Tableau Server oplossen(Link wordt in een nieuw venster geopend) in de Gids voor bedrijfsbrede implementatie (GBI) voor meer tips voor het oplossen van problemen. In de GBI staat een voorbeeld van een implementatie van Tableau Server op Linux. De stappen voor probleemoplossing zijn handig voor Windows- of Linux-versies van Tableau Server.

Bedankt voor uw feedback.De feedback is verzonden. Dank u wel.