Ajuda do Tableau Server no Linux

O Tableau Server Administration Controller (também conhecido como Controller) é o componente de gerenciamento para alterações de administração no cluster do Tableau Server. Por padrão, o Controller é executado no nó inicial (primeiro) de um cluster do Tableau Server. Embora seja tecnicamente possível executar vários Controllers em uma única implantação de cluster do Tableau, essa não é uma prática recomendada.

O Controller inclui uma API que pode ser gerenciada por vários clientes: TSM CLI, TSM Web Client, clientes REST (curl, postman), etc. Usando esses clientes, os administradores do Tableau Server podem fazer alterações de configuração no cluster de servidor. O Controller, juntamente com o Zookeeper, gerencia e executa as alterações de configuração nos nós.

Observação como é convenção, o termo “SSL” é usado aqui quando se refere ao uso de TLS para proteger o tráfego HTTPS.

Por padrão, a conexão do cliente é criptografada com SSL por meio de um certificado autoassinado criado pelo Tableau Server durante a instalação e renovado pelo Controller. Além da criptografia, a identidade (nome do host ou IP) da máquina host do Controller é validada em relação ao nome do assunto apresentado no certificado durante o handshake SSL. No entanto, como o certificado é autoassinado, a confiabilidade do certificado não é absoluta.

No caso da conexão CLI com o Controller, a incapacidade de confiar totalmente no certificado não é um grande risco de segurança, pois um ataque intermediário geralmente exigiria que um usuário mal-intencionado acessasse o cluster do Tableau Server em uma rede privada. Se um usuário mal-intencionado puder falsificar o certificado para o controlador no cenário CLI, o usuário mal-intencionado já possui “as chaves do reino”.

No entanto, no cenário em que os administradores estão se conectando ao Controller por IU da Web do TSM de fora da rede interna, a falta de validação do host por meio de autoridade de certificação confiável apresenta mais riscos de segurança.

Até recentemente, os clientes que executavam a IU da Web do TSM em uma máquina Windows podiam colocar o certificado CA do Tableau Server em um armazenamento raiz confiável do Windows. A maioria dos navegadores validaria a confiança do certificado em virtude dessa configuração. Hoje, o Chrome não valida mais (confia) em certificados autoassinados que são colocados no armazenamento confiável do sistema operacional. Agora, o Chrome (e a maioria dos principais navegadores) confiará apenas em certificados vinculados a uma CA raiz confiável de terceiros.

O recurso de certificado SSL TSM personalizado fecha a lacuna de confiança, permitindo que os administradores configurem o TSM Controller com um certificado de identidade que se liga a uma CA raiz confiável de terceiros.

Há uma série de detalhes importantes para entender:

• A confiança para o certificado SSL personalizado do TSM é validada ao conectar com a IU da Web do TSM.
• A validação de confiança não é tentada para o cenário TSM CLI. Conforme descrito anteriormente, um ataque “man-in-the-middle” no cenário CLI não apresenta um risco crível.
• A cadeia de certificados pode ser incluída na configuração. A cadeia pode apresentar todos os certificados assinados por CAs intermediários. A cadeia pode terminar a qualquer momento e presume-se que quaisquer certificados ausentes da cadeia estejam instalados no armazenamento confiável do sistema operacional.

Você deve usar a CLI do TSM para configurar (ou atualizar) o certificado personalizado ou atualizar SSL para o TSM.

Consulte tsm security custom-tsm-ssl enable.