Configurar canal criptografado no armazenamento de identidade externo LDAP
O Tableau Server configurado para se conectar a um armazenamento de identidade LDAP externo deve consultar o diretório LDAP e estabelecer uma sessão. O processo de criação de uma sessão é chamado associação. Há diversas formas de associação. O Tableau Server é compatível com dois métodos de associação a um diretório LDAP:
Associação simples: estabelece uma sessão ao autenticar com um nome de usuário e uma senha. Por padrão, o Tableau Server tentará o StartTLS para criptografar sessões ao se conectar ao Windows Active Directory. Se o Tableau Server tiver um certificado TLS válido, a sessão será criptografada. Caso contrário, o LDAP com associação simples não é criptografado. Se estiver configurando LDAP com associação simples, recomendamos habilitá-lo com SSL/TLS.
Associação ao GSSAPI: o GSSAPI usa o Kerberos para autenticação. Quando configurada com um arquivo keytab, a autenticação é segura durante a associação ao GSSAPI. No entanto, o tráfego subsequente para o servidor LDAP não é criptografado. Recomendamos configurar o LDAP com SSL/TLS.
Se você estiver executando o Tableau Server no Linux em um computador que faz parte de um domínio do Active Directory, poderá configurar o GSSAPI. Consulte Associação do LDAP com GSSAPI (Kerberos).
Este tópico descreve como criptografar o canal para associação simples do LDAP para comunicações entre servidores de diretório Tableau Server e LDAP.
Requisitos de certificado
Você deve ter um certificado codificado em PEM x509 SSL/TLS válido que pode ser usado para criptografia. O arquivo de certificado deve ter uma extensão .crt.
Certificados autoassinados não são aceitos.
O certificado que você instala deve incluir
Key Enciphermentno campo de uso chave a ser usado para SSL/TLS. O Tableau Server usará apenas este certificado para criptografar o canal para o servidor LDAP. O vencimento, a confiança e o CRL e outros atributos não são validados.Se você estiver executando o Tableau Server em uma implantação distribuída, copie manualmente o certificado SSL para cada nó do cluster. Copie o certificado somente para os nós em que o processo do servidor de aplicativos do Tableau Server esteja configurado. Diferentemente de outros arquivos compartilhados em um ambiente de cluster, o certificado SSL usado para LDAP não será distribuído automaticamente pelo Serviço de arquivo do cliente.
- Se você estiver usando um certificado PKI ou não de terceiros, carregue o certificado raiz da CA no armazenamento confiável Java.
Importação de certificado para o repositório de chaves do Tableau
Caso ainda não tenha certificados no computador configurado para o servidor LDAP, é necessário obter um certificado SSL para o servidor LDAP e importá-lo para o repositório de chaves do sistema Tableau.
Use a ferramenta "keytool" do Java para importar os certificados. Em uma instalação padrão, esta ferramenta está instalada com o Tableau Server no seguinte local:
/opt/tableau/tableau_server/packages/repository.<installer version>/jre/bin/keytool.
O seguinte comando importa o certificado:
sudo "<installation_directory>/packages/repository*/jre/bin/keytool -importcert -file "<cert_directory/<cert_name.crt>" -alias "<cert_alias>" -keystore /etc/opt/tableau/tableau_server/tableauservicesmanagerca.jks -storepass changeit -noprompt
A senha para o repositório de chaves Java é changeit. (Não altere a senha do repositório de chaves Java).
Métodos de criptografia
O Tableau Server 2021.1 e versões posteriores são compatíveis com dois métodos para criptografar o canal LDAP para uma associação simples: StartTLS and LDAPS.
StartTLS: esta é a configuração padrão para comunicação com o Active Directory no Tableau Server 2021.2. A partir do Tableau Server 2021.2, o TLS é compatível com conexões LDAP de associação simples ao Active Directory. Esta configuração TLS padrão é aplicada tanto para novas instalações quanto para cenários de atualização.
Observação: o StartTLS só é compatível com o Tableau Server no Linux ao se comunicar com o Active Directory e associação simples. O StartTLS não é compatível com comunicação com outros tipos de servidor LDAP ou com GSSAPI.
O método StartTLS funciona estabelecendo uma conexão insegura com o servidor Active Directory. Após uma negociação cliente-servidor, a conexão é atualizada para uma conexão criptografada TLS. Como a configuração padrão, este cenário requer somente um certificado TLS válido no Tableau Server. Nenhuma outra configuração é necessária.
LDAPS: o LDAP seguro, ou LDAPS, é um canal criptografado padrão que requer mais configuração. Especificamente, além de um certificado TLS no Tableau Server, você deve definir o nome do host e a porta LDAP segura para o servidor LDAP de destino.
O LDAPS é compatível com qualquer servidor LDAP, incluindo servidores do Active Directory.
Configuração de canal criptografado para simples associação
Esta seção descreve como configurar o Tableau Server para usar um canal criptografado para associação simples LDAP.
Quando configurar
Você deve configurar o Tableau Server para usar um canal criptografado para vínculo simples LDAP, antes que o Tableau Server seja inicializado ou como parte da configuração do nó inicial, conforme mencionado na guia “Usar a CLI do TSM” em Configurar as definições do nó inicial.
Para novas instalações do Tableau Server
Se sua organização usar um diretório LDAP diferente do Active Directory, então você não poderá usar a configuração de interface gráfica de usuário do TSM para configurar o armazenamento de identidade como parte da instalação do Tableau Server. Em vez disso, você deve usar arquivos de entidade JSON para configurar o armazenamento de identidade LDAP. Consulte Entidade identityStore.
Antes de configurar a entidade de identityStore, importe um certificado SSL/TLS válido para o repositório de chaves do Tableau, conforme documentado anteriormente neste tópico.
Configurar o LDAPS requer definir as opções hostname e sslPort no arquivo JSON identityStore.
Para novas instalações em um ambiente do Active Directory
Se você estiver usando o Active Directory como um armazenamento de identidade externa, você deve executar a versão GUI da configuração do Tableau Server. Ao contrário do processo de CLI para instalar o Tableau Server, a versão da interface gráfica do usuário da Configuração inclui lógica para simplificar e validar a configuração do Active Directory.
A interface gráfica do usuário de configuração do Tableau Server em que você configura o Active Directory é mostrada aqui.
Se você estiver instalando uma nova instância do Tableau Server no Linux e tiver um certificado SSL/TLS válido instalado o repositório de chaves Tableau, recomendamos que você deixe a opção padrão definida como StartTLS.
Se você quiser configurar para LDAPS e digite o nome do host e a porta segura (tipicamente 636) para o servidor LDAP, antes de selecionar a opção LDAPS.
Você pode fazer alterações nessas configurações depois de instalar, entrando na Interface da Web TSM, clicando na guia Configuração Identidade e acesso do usuário e, em seguida, Armazenamento de identidade.
Cenários de atualização
Se você estiver atualizando para uma versão 2021.2 (ou mais recente) do Tableau Server e usando o Active Directory como seu armazenamento de identidade externo, o canal criptografado será aplicado para conexões LDAP simples. Se você não tiver um canal criptografado configurado, a atualização falhará.
Para atualizar com êxito para a versão 2021.2 ou mais recente, uma das seguintes opções deve ser verdadeira:
- A instalação existente do Tableau Server já foi configurada para LDAPS e inclui um certificado no armazenamento de chaves do Tableau.
- Um certificado SSL/TLS válido está presente no armazenamento de chaves do Tableau antes da atualização. Nesse cenário, a configuração padrão do StartTLS habilitará um canal criptografado.
- O canal LDAP criptografado foi desabilitado conforme descrito na seção a seguir.
Desativar canal LDAP criptografado padrão
Se você estiver executando o Tableau Server no Linux e se conectando ao Active Directory, poderá desabilitar o requisito de canal criptografado.
Quando desabilitado, as credenciais do usuário que são usadas para estabelecer a sessão de associação com o Active Directory são comunicadas em texto simples entre o Tableau Server e o servidor LDAP.
Desativar nova instalação
Se você for usar o Active Directory como seu armazenamento de identidade, deverá usar a GUI do TSM para configurar a conexão do Active Directory. Consulte Configurar as definições do nó inicial.
Selecione LDAP (canal não criptografado) ao executar a instalação.
Desativar antes de atualizar
Se você estiver atualizando para o Tableau Server 2021.2 (ou mais recente) de uma versão anterior, execute os seguintes comandos na versão anterior do Tableau Server antes de atualizar:
tsm configuration set -k wgserver.domain.ldap.starttls.enabled -v false --force-keys
tsm pending-changes apply
Para verificar se a chave foi definida, execute o seguinte comando:
tsm configuration get -k wgserver.domain.ldap.starttls.enabled
O comando deve retornar false.
Mensagens de erro
As seguintes mensagens de erro podem ser exibidas ou registradas. Se você vir esses erros, faça o seguinte:
- Verifique se seu certificado é válido e importado para o repositório de chaves do Tableau, conforme descrito anteriormente neste tópico.
- (Somente LDAPS) - Verifique se os nomes do host e da porta estão corretos.
Na GUI de configuração
O seguinte erro será exibido se você tiver LDAPS ou StartTLS configurados de forma errada ao executar a Configuração ou Atualização da interface gráfica do usuário.
TLS handshake failed. Tableau Server and the Active Directory server could not negotiate a compatible level of security.
Registros de vizportal
Se você estiver configurando LDAPS ou StartTLS usando CLI, a seguinte mensagem de erro não será exibida. Em vez disso, o erro será registrado nos registros vizportal em /var/opt/tableau/tableau_server/data/tabsvc/logs/vizportal.
Authentication with LDAP server failed. The provided credentials or configuration are either incorrect or do not have the necessary permissions to bind.