Hjälp för Tableau Server på Linux

Administrationsstyrenheten i Tableau Server är den komponent som hanterar administrationsändringar av Tableau Server-klustret. Som standard körs styrenheten på den initiala (första) noden i Tableau Server-klustret. Även om det är tekniskt möjligt att köra flera styrenheter i en enda Tableau-klusterdriftsättning rekommenderas det inte.

Styrenheten inkluderar ett programmeringsgränssnitt som kan hanteras av olika klienter, till exempel TSM CLI, TSM-webbklient och REST-klienter (curl, postman). Med hjälp av dessa klienter kan Tableau Server-administratörer göra konfigurationsändringar av serverklustret. Styrenheten hanterar och utför konfigurationsändringar över noderna tillsammans med Zookeeper.

Obs! Som vanligt används termen ”SSL” här när det handlar om att använda TLS för att säkra HTTPS-trafik.

Som standard krypteras klientanslutningen med SSL med hjälp av ett självsignerat certifikat som skapas av Tableau Server under konfigurationen och förnyas av styrenheten. Utöver krypteringen kontrolleras identiteten (värdnamn eller IP-adress) för styrenhetens värddator mot det ämnesnamn som presenteras i certifikatet under SSL-handskakningen. Men eftersom certifikatet är självsignerat är certifikatets tillförlitlighet inte total.

Vid CLI-anslutningar till styrenheten är den här bristen på total tillförlitlighet för certifikatet ingen stor säkerhetsrisk, eftersom en man-i-mitten-attack i allmänhet kräver att den illvillige användaren har tillgång till Tableau Server-klustret i ett privat nätverk. Om en illvillig användare kan förfalska certifikatet för styrenheten i CLI-scenariot har den illvilliga användaren redan ”nycklarna till kungariket”.

I ett scenario där administratörer ansluter till styrenheten via TSM-webbgränssnittet från utanför det interna nätverket utgör emellertid bristen på värdvalidering via en betrodd certifikatutfärdare en större säkerhetsrisk.

Tills nyligen kunde kunder som kör TSM-webbgränssnittet på en Windows-dator placera CA-certifikatet för Tableau Server i Windows arkiv med betrodda utfärdare. De flesta webbläsare validerar certifikatet på basis av den här konfigurationen. I dag validerar (litar) Chrome inte längre på självsignerade certifikat som finns i operativsystemets arkiv med betrodda utfärdare. Nu litar Chrome (och de flesta andra populära webbläsare) bara på certifikat som kedjar tillbaka till en extern betrodd rotcertifikatutfärdare.

Funktionen för anpassade SSL-certifikat för TSM täpper till den här säkerhetsluckan, eftersom administratörer tillåts konfigurera TSM-styrenheten med ett identitetscertifikat som kedjar tillbaka till en extern betrodd rotcertifikatutfärdare.

Det finns ett antal viktiga detaljer du behöver förstå:

• Förtroendet för det anpassade SSL-certifikatet för TSM valideras vid anslutning till TSM-webbgränssnittet.
• Förtroendevalidering utförs inte i TSM CLI-scenariot. Som redan beskrivits är en man-i-mitten-attack i CLI-scenariot troligen ingen risk.
• Certifikatkedjan kan inkluderas i konfigurationen. Kedjan kan presentera alla certifikat som undertecknats av mellanliggande certifikatutfärdare. Kedjan kan avslutas när som helst och alla certifikat som saknas i kedjan antas vara installerade i operativsystemets arkiv.

Du måste använda kommandoradsgränssnittet för TSM för att konfigurera (eller uppdatera) ett anpassat SSL-certifikat för TSM.

Läs mer i avsnittet om tsm security custom-tsm-ssl enable.