Konfigurera den krypterade kanalen till LDAP:s externa identitetsregister


Tableau Server som är konfigurerad att ansluta till ett externt LDAP-identitetsregister måste fråga LDAP-katalogen och skapa en session. Processen för att upprätta en session kallas bindande. Det finns flera sätt att binda. Tableau Server stöder två metoder för att binda till en LDAP-katalog:

  • Enkel bindning: Upprättar en session genom att autentisera med ett användarnamn och lösenord. Som standard försöker Tableau Server att kryptera sessioner med StartTLS när du ansluter till Windows Active Directory. Sessionen krypteras om Tableau Server har ett giltigt TLS-certifikat. Annars krypteras inte LDAP med enkel bindning. Om du konfigurerar LDAP med enkel bindning bör du aktivera LDAP över SSL/TLS.

  • GSSAPI-bindning: GSSAPI använder Kerberos för att autentisera. När den är konfigurerad med en keytab-fil är autentiseringen säker under GSSAPI-bindning. Efterföljande trafik till LDAP-servern krypteras emellertid inte. Vi rekommenderar att du konfigurerar LDAP över SSL/TLS. Viktigt: StartTLS stöds inte för GSSAPI-bindning med Active Directory.

    Om du kör Tableau Server på Linux på en dator som är ansluten till en Active Directory-domän kan du konfigurera GSSAPI. Se LDAP med GSSAPI (Kerberos)-bindning.

Detta ämne beskriver hur man krypterar kanalen för enkel LDAP-bindning för kommunikation mellan Tableau Server och LDAP-katalogservrar.

Certifikatkrav

  • Du måste ha ett giltigt PEM-kodat x509 SSL/TLS-certifikat som kan användas för kryptering. Certifikatfilen måste ha filtillägget .crt.

  • Självsignerade certifikat stöds inte.

  • Certifikatet du installerar måste inkludera Key Encipherment i fältet för nyckelanvändning som ska användas för SSL/TLS. Tableau Server kommer endast att använda detta certifikat för att kryptera kanalen till LDAP-servern. Utgångsdatum, förtroende, CRL och andra attribut valideras inte.

  • Om Tableau Server körs i en distribuerad driftsättning måste SSL-certifikatet kopieras manuellt till varje nod i klustret. Kopiera endast certifikatet till de noder där programserverprocessen för Tableau Server är konfigurerad. Till skillnad från andra delade filer i en klustermiljö distribueras inte SSL-certifikatet som används för LDAP automatiskt av klientfilstjänsten.

  • Om ett PKI eller icke tredje parts certifikat används ska CA-rotcertifikatet laddas upp till Java Trust Store.

Importera certifikat till Tableau nyckelarkiv

Om du inte redan har certifikat på datorn som är konfigurerade för LDAP-servern måste du skaffa ett SSL-certifikat för LDAP-servern och importera det till Tableau-systemets nyckelarkiv.

Använd Java-verktyget ”keytool” för att importera certifikat. I en standardinstallation installeras det här verktyget med Tableau Server på följande plats:

/opt/tableau/tableau_server/packages/repository.<installer version>/jre/bin/keytool.

Följande kommando importerar certifikatet:

sudo "<installation_directory>/packages/repository*/jre/bin/keytool -importcert -file "<cert_directory/<cert_name.crt>" -alias "<cert_alias>" -keystore /etc/opt/tableau/tableau_server/tableauservicesmanagerca.jks -storepass changeit -noprompt

Lösenordet för Java-nyckelarkiv är changeit. (Ändra inte lösenordet för Java-nyckelarkiv.)

Krypteringsmetoder

Tableau Server 2021.1 och senare stöder två krypteringsmetoder för LDAP-kanalen för enkel bindning: StartTLS och LDAPS.

  • StartTLS: Detta är standardkonfigurationen för att kommunicera med Active Directory i Tableau Server 2021.2. Från och med Tableau Server 2021.2 verkställs TLS för LDAP-anslutningar till Active Directory med enkel bindning. Denna TLS-standardkonfiguration tillämpas för både nya installationer och för uppgraderingsscenarier.

    Obs! StartTLS stöds endast på Tableau Server på Linux när du kommunicerar med Active Directory och enkel bindning. StartTLS stöds inte för kommunikation med andra LDAP-servertyper eller med GSSAPI.

    Metoden StartTLS upprättar en oskyddad anslutning med Active Directory-servern. Efter en klient-serverförhandling uppgraderas anslutningen till en TLS-krypterad anslutning. Som standardkonfiguration kräver detta scenario endast ett giltigt TLS-certifikat på Tableau Server. Ingen annan konfiguration krävs.

  • LDAPS: Säker LDAP, eller LDAPS är en krypterad standardkanal som kräver mer konfiguration. Närmare bestämt måste du, utöver att ha ett TLS-certifikat på Tableau Server, ange värdnamnet och den säkra LDAP-porten för LDAP-målservern.

    LDAPS stöds på alla LDAP-servrar, inklusive Active Directory-servrar.

Anpassa krypterad kanal för enkel bindning

Det här avsnittet beskriver hur man konfigurerar Tableau Server att använda en krypterad kanal för enkel LDAP-bindning.

När du ska konfigurera

Du måste konfigurera Tableau Server till att använda en krypterad kanal för enkel LDAP-bindning innan Tableau Server initieras eller som en del konfigureringen av den initiala nod som nämns i fliken ”Använd TSM CLI” i Konfigurera initiala nodinställningar.

För nya installationer av Tableau Server

Om din organisation använder en annan LDAP-katalog än Active Directory kan du inte använda installationsprogrammet för TSM GUI för att konfigurera identitetsregistret som en del av installationen av Tableau Server. Du måste istället använda JSON-entitetsfiler för att konfigurera LDAP-identitetsregistret. Se identityStore Entity.

Innan du konfigurerar identityStore-enheten importerar du ett giltigt SSL/TLS-certifikat till Tableau-nyckellagret som anges tidigare i detta ämne.

När du konfigurerar LDAPS krävs att du ställer in värdnamn och sslPort-alternativ i JSON-filen för identityStore.

För nya installationer i Active Directory-miljö

Om du använder Active Directory som ett externt identitetsregister måste du köra inställningen av Tableau Server med den grafiska gränssnittsversionen. Till skillnad från CLI-processen för att installera Tableau Server innehåller den grafiska gränssnittsversionen av installationen logik som förenklar och validerar konfigurationen av Active Directory.

Här visas det grafiska gränssnittet för installation av Tableau Server där du konfigurerar Active Directory.

Om du installerar en ny instans av Tableau Server på Linux och du har ett giltigt SSL/TLS-certifikat installerat i Tableau nyckelarkiv rekommenderar vi att du lämnar standardalternativet till StartTLS.

Om du vill konfigurera för LDAPS anger du sedan värdnamnet och den säkra porten (vanligtvis 636) för LDAP-servern innan du väljer LDAPS-alternativet.

Du kan ändra dessa konfigurationer efter installationen genom att logga in på webbgränssnittet för TSM, klicka på fliken Konfiguration, Användaridentitet och åtkomst och sedan Identitetsregister.

Uppgraderingsscenarier

Om du uppgraderar till version 2021.2 (eller senare) av Tableau Server och använder Active Directory som din externa identitetsregister kommer den krypterade kanalen att verkställas för LDAP-anslutningar med enkel bindning. Om du inte har en krypterad kanal konfigurerad kommer uppgraderingen att misslyckas.

Om du vill uppgradera till version 2021.2 eller senare måste något av följande vara sant:

  • Den befintliga installationen av Tableau Server har redan konfigurerats för LDAPS och innehåller ett certifikat i Tableau-nyckellager.
  • Ett giltigt SSL/TLS-certifikat finns i Tableau-nyckellager före uppgradering. I det här scenariot aktiverar standardkonfigurationen av StartTLS en krypterad kanal.
  • Den krypterade LDAP-kanalen har inaktiverats enligt beskrivningen i följande avsnitt.

Inaktivera standardkrypterad LDAP-kanal

Om du kör Tableau Server på Linux och ansluter till Active Directory kan du inaktivera kravet på krypterad kanal.

När den är inaktiverad kommuniceras användaruppgifter som används för att etablera bindningssessionen med Active Directory i klartext mellan Tableau Server och Active Directory-servern.

Inaktivera ny installation

Om du ska använda Active Directory som ditt identitetsregister måste du använda TSM GUI för att konfigurera Active Directory-anslutningen. Läs mer i Konfigurera initiala nodinställningar.

Välj LDAP (okrypterad kanal) när du kör installationen.

Inaktivera innan uppgradering

Om du uppgraderar till Tableau Server 2021.2 (eller senare) från en tidigare version kör du följande kommandon på en tidigare version av Tableau Server innan du uppgraderar:

tsm configuration set -k wgserver.domain.ldap.starttls.enabled -v false --force-keys
tsm pending-changes apply

Kör följande kommando för att verifiera att nyckeln har ställts in:

tsm configuration get -k wgserver.domain.ldap.starttls.enabled

Kommandot borde returnera false.

Felmeddelanden

Följande felmeddelanden kan visas eller loggas. Gör följande om du ser dessa fel:

  • Kontrollera att ditt certifikat är giltigt och att det har importerats till Tableau-nyckellagret som beskrivits tidigare i detta ämne.
  • (Endast LDAPS) – Kontrollera att värddatorns och portens namn är korrekta.

I det grafiska användargränssnittet

Följande fel visas om du har felkonfigurerat LDAPS eller StartTLS när du kör installationen eller uppgraderar det grafiska användargränssnittet.

TLS handshake failed. Tableau Server and the Active Directory server could not negotiate a compatible level of security.

Vizportal-loggar

Om du konfigurerar LDAPS eller StartTLS med CLI visas inte följande felmeddelande. Felet kommer snarare att loggas i vizportal-loggarna på /var/opt/tableau/tableau_server/data/tabsvc/logs/vizportal.

Authentication with LDAP server failed. The provided credentials or configuration are either incorrect or do not have the necessary permissions to bind.
Tillbaka till toppen
Tack för din feedback!Din feedback har skickats in. Tack!