กำหนดค่าช่องทางที่เข้ารหัสไปยังที่เก็บข้อมูลประจำตัวภายนอก LDAP

Tableau Server ที่กำหนดค่าให้เชื่อมต่อกับที่เก็บข้อมูลประจำตัว LDAP ภายนอกต้องค้นหาไดเรกทอรี LDAP และสร้างเซสชัน กระบวนการสร้างเซสชันเรียกว่าการผูก วิธีการผูกอยู่หลายวิธี Tableau Server รองรับการผูกกับไดเรกทอรี LDAP 2 วิธี:

  • การผูกแบบง่าย: สร้างเซสชันโดยการตรวจสอบสิทธิ์ด้วยชื่อผู้ใช้และรหัสผ่าน ตามค่าเริ่มต้น Tableau Server จะพยายาม StartTLS เพื่อเข้ารหัสเซสชันเมื่อเชื่อมต่อกับ Windows Active Directory หาก Tableau Server มีใบรับรอง TLS ที่ถูกต้อง เซสชันจะได้รับการเข้ารหัส มิฉะนั้น LDAP ที่มีการผูกแบบธรรมดาจะไม่ได้รับการเข้ารหัส หากคุณจะกำหนดค่า LDAP ด้วยการผูกแบบง่าย เราขอแนะนำให้คุณเปิดใช้งาน LDAP ผ่าน SSL/TLS

  • ผูก GSSAPI: GSSAPI ใช้ Kerberos เพื่อตรวจสอบสิทธิ์ เมื่อกำหนดค่าด้วยไฟล์คีย์แท็บ การตรวจสอบสิทธิ์จะปลอดภัยในระหว่างการผูก GSSAPI อย่างไรก็ตาม การรับส่งข้อมูลไปยังเซิร์ฟเวอร์ LDAP ที่ตามมาจะไม่ได้รับการเข้ารหัส เราแนะนำให้กำหนดค่า LDAP ผ่าน SSL/TLS สำคัญ: ไม่รองรับ StartTLS สำหรับการเชื่อมโยง GSSAPI กับ Active Directory

    หากคุณใช้งาน Tableau Server บน Linux บนคอมพิวเตอร์ที่เข้าร่วมโดเมน Active Directory คุณจะกำหนดค่า GSSAPI ได้ ดู การผูก LDAP กับ GSSAPI (Kerberos)

หัวข้อนี้อธิบายวิธีเข้ารหัสช่องทางสำหรับการผูก LDAP อย่างง่ายสำหรับการสื่อสารระหว่าง Tableau Server และเซิร์ฟเวอร์ไดเรกทอรี LDAP

ข้อกำหนดของใบรับรอง

  • คุณต้องมีใบรับรอง x509 SSL/TLS ที่เข้ารหัส PEM ที่ถูกต้องซึ่งใช้สำหรับการเข้ารหัส ไฟล์ใบรับรองต้องมีนามสกุล .crt

  • ไม่รองรับใบรับรองที่ที่ลงนามด้วยตนเอง

  • ใบรับรองที่คุณติดตั้งต้องมี Key Encipherment ในฟิลด์การใช้คีย์เพื่อใช้สำหรับ SSL/TLS Tableau Server จะใช้ใบรับรองนี้เพื่อเข้ารหัสช่องทางไปยังเซิร์ฟเวอร์ LDAP เท่านั้น การหมดอายุ ความเชื่อถือ และ CRL และแอตทริบิวต์อื่นๆ จะไม่ถูกตรวจสอบความถูกต้อง

  • หากคุณใช้งาน Tableau Server ในการปรับใช้แบบกระจาย คุณต้องคัดลอกใบรับรอง SSL ไปยังแต่ละโหนดในคลัสเตอร์ด้วยตนเอง คัดลอกใบรับรองไปยังโหนดที่มีการกำหนดค่ากระบวนการเซิร์ฟเวอร์แอปพลิเคชันของ Tableau Server เท่านั้น แตกต่างจากไฟล์ที่แชร์อื่นๆ ในสภาพแวดล้อมคลัสเตอร์ ใบรับรอง SSL ที่ใช้สำหรับ LDAP จะไม่ถูกแจกจ่ายโดยอัตโนมัติโดย Client File Service

  • หากคุณใช้ PKI หรือใบรับรองที่ไม่ใช่ของบุคคลที่สาม ให้อัปโหลดใบรับรองหลักของ CA ไปยังที่เก็บที่เชื่อถือได้ของ Java

นำเข้าใบรับรองไปยังคีย์สโตร์ของ Tableau

หากคุณไม่มีใบรับรองในคอมพิวเตอร์ที่กำหนดค่าไว้สำหรับเซิร์ฟเวอร์ LDAP คุณต้องขอรับใบรับรอง SSL สำหรับเซิร์ฟเวอร์ LDAP และนำเข้าใบรับรองนั้นไปยังคีย์สโตร์ของระบบ Tableau

ใช้เครื่องมือ Java "keytool" เพื่อนำเข้าใบรับรอง ในการติดตั้งเริ่มต้น เครื่องมือนี้ได้รับการติดตั้งด้วย Tableau Server ในตำแหน่งต่อไปนี้:

/opt/tableau/tableau_server/packages/repository.<installer version>/jre/bin/keytool

คำสั่งต่อไปนี้นำเข้าใบรับรอง:

sudo "<installation_directory>/packages/repository*/jre/bin/keytool -importcert -file "<cert_directory/<cert_name.crt>" -alias "<cert_alias>" -keystore /etc/opt/tableau/tableau_server/tableauservicesmanagerca.jks -storepass changeit -noprompt

รหัสผ่านสำหรับคีย์สโตร์ Java คือ changeit (อย่าเปลี่ยนรหัสผ่านสำหรับคีย์สโตร์ Java)

วิธีการเข้ารหัส

Tableau Server 2021.1 ขึ้นไปรองรับการเข้ารหัสช่องทาง LDAP สำหรับการผูกอย่างง่าย 2 วิธี คือ: StartTLS และ LDAPS

  • StartTLS: วิธีนี้เป็นการกำหนดค่าเริ่มต้นสำหรับการสื่อสารกับ Active Directory ใน Tableau Server 2021.2 ตั้งแต่ Tableau Server 2021.2 จะมีการบังคับใช้ TLS สำหรับการเชื่อมต่อ LDAP ที่ผูกอย่างง่ายกับ Active Directory การกำหนดค่า TLS เริ่มต้นนี้บังคับใช้สำหรับทั้งการติดตั้งใหม่และสถานการณ์การอัปเกรด

    หมายเหตุ: StartTLS รองรับเฉพาะ Tableau Server บน Linux เมื่อสื่อสารกับ Active Directory และการผูกอย่างง่าย StartTLS ไม่ได้รับการรองรับสำหรับการสื่อสารกับเซิร์ฟเวอร์ LDAP ประเภทอื่นๆ หรือกับ GSSAPI

    เมธอด StartTLS จะทำงานโดยสร้างการเชื่อมต่อที่ไม่ปลอดภัยกับเซิร์ฟเวอร์ Active Directory หลังจากการเจรจาระหว่างไคลเอ็นต์กับเซิร์ฟเวอร์ การเชื่อมต่อจะได้รับการอัปเกรดเป็นการเชื่อมต่อที่เข้ารหัส TLS ตามการกำหนดค่าเริ่มต้น สถานการณ์นี้ต้องใช้ใบรับรอง TLS ที่ถูกต้องบน Tableau Server เท่านั้น ไม่จำเป็นต้องมีการกำหนดค่าอื่น

  • LDAPS: LDAP ที่ปลอดภัยหรือ LDAPS เป็นช่องทางเข้ารหัสมาตรฐานที่ต้องมีการกำหนดค่าเพิ่มเติม นอกจากใบรับรอง TLS บน Tableau Server แล้ว เป็นเรื่องจำเป็นอย่างมากที่คุณต้องตั้งชื่อโฮสต์และพอร์ต LDAP ที่ปลอดภัยสำหรับเซิร์ฟเวอร์ LDAP เป้าหมาย

    รองรับ LDAPS บนเซิร์ฟเวอร์ LDAP รวมถึงเซิร์ฟเวอร์ Active Directory

กำหนดค่าช่องทางที่เข้ารหัสสำหรับการผูกอย่างง่าย

ส่วนนี้อธิบายวิธีกำหนดค่า Tableau Server ให้ใช้ช่องทางที่เข้ารหัสสำหรับการผูก LDAP อย่างง่าย

เมื่อใดที่ควรกำหนดค่า

คุณต้องกำหนดค่า Tableau Server เพื่อใช้ช่องทางที่เข้ารหัสสำหรับการผูก LDAP อย่างง่ายก่อนที่ Tableau Server จะเริ่มต้นหรือเป็นส่วนหนึ่งของการกำหนดค่าโหนดเริ่มต้นตามที่กล่าวไว้ในแท็บ "ใช้ TSM CLI" ในกำหนดการตั้งค่าโหนดเริ่มต้น

สำหรับการติดตั้ง Tableau Server ใหม่

หากองค์กรของคุณใช้ไดเรกทอรี LDAP อื่นที่ไม่ใช่ Active Directory คุณจะใช้การตั้งค่า TSM GUI เพื่อกำหนดค่าที่เก็บข้อมูลประจำตัวเป็นส่วนหนึ่งของการติดตั้ง Tableau Server ไม่ได้ คุณต้องใช้ไฟล์เอนทิตี JSON เพื่อกำหนดค่าที่เก็บข้อมูลประจำตัว LDAP แทน โปรดดู เอนทิตี identityStore

ก่อนที่คุณจะกำหนดค่าเอนทิตี identityStore ให้นำเข้าใบรับรอง SSL/TLS ที่ถูกต้องไปยังคีย์สโตร์ของ Tableau ตามที่ระบุไว้ก่อนหน้าในหัวข้อนี้

การกำหนดค่า LDAPS ต้องตั้งค่าชื่อโฮสต์และตัวเลือก sslPort ในไฟล์ identityStore JSON

สำหรับการติดตั้งใหม่ในสภาพแวดล้อม Active Directory

หากคุณกำลังใช้ Active Directory เป็นที่เก็บข้อมูลประจำตัวภายนอก คุณต้องเรียกใช้ Tableau Server Setup เวอร์ชัน GUI ไม่เหมือนกับกระบวนการ CLI สำหรับการติดตั้ง Tableau Server เวอร์ชัน GUI ของ Setup มีตรรกะเพื่อทำให้การกำหนดค่า Active Directory ง่ายขึ้นและตรวจสอบความถูกต้อง

GUI การตั้งค่าTableau Server ที่คุณกำหนดค่า Active Directory จะแสดงที่นี่

หากคุณกำลังติดตั้งอินสแตนซ์ใหม่ของ Tableau Server บน Linux และคุณมีใบรับรอง SSL/TLS ที่ถูกต้องติดตั้งอยู่ในคีย์สโตร์ของ Tableau เราขอแนะนำให้คุณปล่อยให้ตัวเลือกเริ่มต้นตั้งค่าเป็น StartTLS

หากคุณต้องการกำหนดค่าสำหรับ LDAPS ให้ป้อนชื่อโฮสต์และพอร์ตที่ปลอดภัย (โดยทั่วไปคือ 636) สำหรับเซิร์ฟเวอร์ LDAP ก่อนที่จะเลือกตัวเลือก LDAPS

คุณเปลี่ยนแปลงการกำหนดค่าเหล่านี้ได้หลังจากติดตั้งโดยเข้าสู่ระบบ UI ของเว็บ TSM, คลิกแท็บการกำหนดค่า ข้อมูลประจำตัวผู้ใช้และการเข้าถึง จากนั้นคลิกที่เก็บข้อมูลประจำตัว

อัปเกรดสถานการณ์

หากคุณกำลังอัปเกรดเป็นเวอร์ชัน 2021.2 (หรือใหม่กว่า) ของ Tableau Server และใช้ Active Directory เป็นที่เก็บข้อมูลประจำตัวภายนอก ช่องทางที่เข้ารหัสจะบังคับใช้สำหรับการเชื่อมต่อการผูก LDAP อย่างง่าย หากคุณไม่ได้กำหนดค่าช่องทางที่เข้ารหัสไว้ การอัปเกรดจะล้มเหลว

ในการอัปเกรดเป็นเวอร์ชัน 2021.2 หรือใหม่กว่าให้สำเร็จ สิ่งใดสิ่งหนึ่งต่อไปนี้ต้องเป็นจริง:

  • การติดตั้ง Tableau Server ที่มีอยู่ได้รับการกำหนดค่าสำหรับ LDAPS แล้ว และมีใบรับรองในคีย์สโตร์ของ Tableau
  • มีใบรับรอง SSL/TLS ที่ถูกต้องในคีย์สโตร์ของ Tableau ก่อนอัปเกรด ในสถานการณ์สมมตินี้ การกำหนดค่าเริ่มต้นของ StartTLS จะเปิดใช้งานช่องทางที่เข้ารหัส
  • ฟิลด์ LDAP ที่เข้ารหัสถูกปิดใช้งานตามที่อธิบายไว้ในส่วนต่อไปนี้

ปิดใช้งานช่องทาง LDAP ที่เข้ารหัสเริ่มต้น

หากคุณกำลังใช้งาน Tableau Server บน Linux และเชื่อมต่อกับ Active Directory คุณสามารถปิดใช้งานข้อกำหนดช่องทางที่เข้ารหัสได้

เมื่อปิดใช้งาน ข้อมูลเข้าสู่ระบบของผู้ใช้ที่ใช้เพื่อสร้างเซสชันผูกกับ Active Directory จะได้รับการสื่อสารเป็นข้อความธรรมดาระหว่าง Tableau Server และเซิร์ฟเวอร์ Active Directory

ปิดการติดตั้งใหม่

หากคุณจะใช้ Active Directory เป็นที่เก็บข้อมูลประจำตัว คุณต้องใช้ TSM GUI เพื่อกำหนดค่าการเชื่อมต่อ Active Direct โปรดดูกำหนดการตั้งค่าโหนดเริ่มต้น

เลือก LDAP (ช่องทางที่ไม่ได้เข้ารหัส) เมื่อเรียกใช้การตั้งค่า

ปิดการใช้งานก่อนอัปเกรด

หากคุณกำลังอัปเกรดเป็น Tableau Server 2021.2 (หรือใหม่กว่า) จากเวอร์ชันก่อนหน้า ให้เรียกใช้คำสั่งต่อไปนี้บน Tableau Server เวอร์ชันก่อนหน้าก่อนที่คุณจะอัปเกรด:

tsm configuration set -k wgserver.domain.ldap.starttls.enabled -v false --force-keys
tsm pending-changes apply

เพื่อตรวจสอบว่าคีย์ได้รับการตั้งค่าแล้ว ให้เรียกใช้คำสั่งต่อไปนี้:

tsm configuration get -k wgserver.domain.ldap.starttls.enabled

คำสั่งควรคืนค่า false

ข้อความแสดงข้อผิดพลาด

ข้อความแสดงข้อผิดพลาดต่อไปนี้อาจแสดงหรือบันทึก หากคุณเห็นข้อผิดพลาดเหล่านี้ ให้ทำดังต่อไปนี้:

  • ตรวจสอบว่าใบรับรองของคุณถูกต้องและนำเข้าไปยังคีย์สโตร์ของ Tableau ตามที่อธิบายไว้ก่อนหน้าในหัวข้อนี้
  • (LDAPS เท่านั้น) - ตรวจสอบว่าชื่อโฮสต์และพอร์ตถูกต้อง

ในการตั้งค่า GUI

ข้อผิดพลาดต่อไปนี้จะปรากฏขึ้นหากคุณกำหนดค่า LDAPS หรือ StartTLS ผิดพลาดเมื่อเรียกใช้ Setup หรือ Upgrade GUI

TLS handshake failed. Tableau Server and the Active Directory server could not negotiate a compatible level of security.

บันทึก VizPortal

หากคุณกำลังกำหนดค่า LDAPS หรือ StartTLS โดยใช้ CLI ข้อความแสดงข้อผิดพลาดต่อไปนี้จะไม่ปรากฏขึ้น แต่ข้อผิดพลาดจะถูกบันทึกไว้ในบันทึก VizPortal ที่ /var/opt/tableau/tableau_server/data/tabsvc/logs/vizportal

Authentication with LDAP server failed. The provided credentials or configuration are either incorrect or do not have the necessary permissions to bind.
ขอบคุณสำหรับข้อเสนอแนะของคุณส่งข้อเสนอแนะของคุณเรียบร้อยแล้ว ขอขอบคุณ