รายการตรวจสอบเพื่อปิดช่องโหว่ด้านความปลอดภัย

รายการต่อไปนี้จะเสนอคำแนะนำในการปรับปรุงความปลอดภัย ("การปิดช่องโหว่") ในการติดตั้ง Tableau Server

การติดตั้งการอัปเดตเพื่อความปลอดภัย

การอัปเดตเพื่อความปลอดภัยรวมอยู่ในเวอร์ชันล่าสุดและการเผยแพร่การบำรุงรักษา (MR) ของ Tableau Server แล้ว คุณจะไม่สามารถติดตั้งการอัปเดตเพื่อความปลอดภัยในลักษณะเป็นแพตช์ได้ แต่คุณต้องอัปเกรดเป็นเวอร์ชันปัจจุบันหรืออัปเดต MR เพื่ออัปเดต Tableau Server ด้วยการแก้ไขด้านความปลอดภัยล่าสุด

หลังจากอัปเกรดแล้ว โปรดหมั่นเข้ามาอ้างอิงเวอร์ชันล่าสุดของหัวข้อนี้อยู่เสมอ เวอร์ชันปัจจุบันจะมีคำว่า /current/ อยู่ใน URL หัวข้อ

ตัวอย่างเช่น URL ในเวอร์ชันสหรัฐอเมริกาคือ: https://help.tableau.com/current/server/th-th/security_harden.htm.

1. อัปเดตเป็นเวอร์ชันปัจจุบัน

เราขอแนะนำให้คุณใช้ Tableau Server เวอร์ชันล่าสุดเสมอ นอกจากนี้ Tableau ยังเผยแพร่การบำรุงรักษาสำหรับ Tableau Server เป็นระยะๆ ซึ่งจะมีการแก้ไขสำหรับช่องโหว่ด้านความปลอดภัยที่ทราบด้วย (คุณสามารถอ่านข้อมูลเกี่ยวกับช่องโหว่ด้านความปลอดภัยที่ทราบได้ที่หน้าข่าวสารด้านความปลอดภัยของ Tableau และหน้าคำแนะนำด้านความปลอดภัยของ Salesforce(ลิงก์จะเปิดในหน้าต่างใหม่)) เราขอแนะนำให้คุณตรวจสอบการแจ้งเตือนการเผยแพร่การบำรุงรักษาเพื่อพิจารณาว่าควรติดตั้งหรือไม่

หากต้องการดาวน์โหลดเวอร์ชันล่าสุดหรือการเผยแพร่การบำรุงรักษาของ Tableau Server โปรดไปที่หน้าพอร์ทัลลูกค้า(ลิงก์จะเปิดในหน้าต่างใหม่)

2. กำหนดค่า SSL/TLS ด้วยใบรับรองที่ถูกต้องและเชื่อถือได้

Secure Sockets Layer (SSL/TLS) เป็นสิ่งจำเป็นเพื่อช่วยปกป้องความปลอดภัยในการสื่อสารกับ Tableau Server กำหนดค่า Tableau Server ด้วยใบรับรองที่ถูกต้องและเชื่อถือได้ (ไม่ใช่ใบรับรองที่ลงนามเอง) เพื่อให้ Tableau Desktop, อุปกรณ์มือถือ และเว็บไคลเอ็นต์สามารถเชื่อมต่อกับเซิร์ฟเวอร์ผ่านการเชื่อมต่อที่ปลอดภัย หากต้องการข้อมูลเพิ่มเติม โปรดดู SSL

3. ปิดใช้งาน TLS เวอร์ชันเก่า

Tableau Server ใช้ TLS ในการตรวจสอบสิทธิ์และเข้ารหัสการเชื่อมต่อส่วนใหญ่ระหว่างส่วนประกอบต่างๆ และเชื่อมต่อกับไคลเอ็นต์ภายนอก ไคลเอ็นต์ภายนอก เช่น เบราว์เซอร์, Tableau Desktop, Tableau Mobile เชื่อมต่อกับ Tableau โดยใช้ TLS ผ่าน HTTPS Transport Layer Security (TLS) เป็น SSL เวอร์ชันที่ปรับปรุงแล้ว ที่จริงแล้ว SSL เวอร์ชันเก่า (SSL v2 และ SSL v3) ไม่ถือว่าเป็นมาตรฐานการสื่อสารที่มีความปลอดภัยมากพออีกต่อไปแล้ว ด้วยเหตุนี้ Tableau Server จึงไม่อนุญาตให้ไคลเอ็นต์ภายนอกใช้โปรโตคอล SSL v2 หรือ SSL v3 ในการเชื่อมต่อ

เราขอแนะนำให้คุณอนุญาตให้ไคลเอ็นต์ภายนอกเชื่อมต่อกับ Tableau Server โดยใช้ TLS v1.3 และ TLS v1.2

TLS v1.2 จะยังคงถือว่าเป็นโปรโตคอลที่ปลอดภัย และไคลเอ็นต์จำนวนมาก (รวมถึง Tableau Desktop) ยังไม่รองรับ TLS v1.3

ไคลเอ็นต์ที่รองรับ TLS v1.3 จะสื่อสารกับ TLS v1.3 แม้ว่าเซิร์ฟเวอร์จะรองรับ TLS v1.2 ก็ตาม

คำสั่ง tsm ต่อไปนี้จะเปิดใช้งาน TLS v1.2 และ v1.3 (โดยใช้พารามิเตอร์ "ทั้งหมด") และปิดใช้งาน SSL v2, SSL v3, TLS v1 และ TLS v1.1 (โดยเติมเครื่องหมายลบ [-] ไว้ข้างหน้าโปรโตคอลดังกล่าว) ส่วนประกอบต่างๆ ทั้งหมดของ Tableau Server ยังไม่รองรับ TLS v1.3

tsm configuration set -k ssl.protocols -v 'all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1'

tsm pending-changes apply

หากต้องการแก้ไขโปรโตคอลที่กำกับดูแล SSL สำหรับที่เก็บของ Tableau Server PostgreSQL โปรดดู pgsql.ssl.ciphersuite

คุณยังสามารถแก้ไขรายการเริ่มต้นของชุดการเข้ารหัสไซเฟอร์ที่ Tableau Server ใช้สำหรับเซสชัน SSL/TLS ได้อีกด้วย หากต้องการข้อมูลเพิ่มเติม โปรดดู ssl.ciphersuite และตัวเลือกการกำหนดค่า tsm ที่ตั้งค่าไว้

4. กำหนดค่าการเข้ารหัส SSL สำหรับการรับส่งข้อมูลภายใน

กำหนดค่า Tableau Server ให้ใช้ SSL เพื่อเข้ารหัสการรับส่งข้อมูลทั้งหมดระหว่างที่เก็บ Postgre และส่วนประกอบอื่นๆ ทั้งหมดของเซิร์ฟเวอร์ ตามค่าเริ่มต้น SSL จะปิดใช้งานไว้สำหรับการสื่อสารระหว่างส่วนประกอบของเซิร์ฟเวอร์และที่เก็บ เราขอแนะนำให้เปิดใช้งาน SSL ภายในสำหรับ Tableau Server ในทุกกรณี แม้กระทั่งการติดตั้งเซิร์ฟเวอร์เดียว การเปิดใช้งาน SSL ภายในมีความสำคัญเป็นอย่างยิ่งสำหรับการปรับใช้แบบหลายโหนด โปรดดูหัวข้อกำหนดค่า SSL สำหรับการสื่อสารภายใน Postgres

5. เปิดใช้งานการป้องกันด้วยไฟร์วอลล์

Tableau Server ได้รับการออกแบบมาเพื่อทำงานภายในเครือข่ายภายในที่มีการป้องกัน

สำคัญ: อย่าใช้งาน Tableau Server หรือส่วนประกอบใดๆ ของ Tableau Server บนอินเทอร์เน็ตหรือใน DMZ ทั้งนี้ ต้องใช้งาน Tableau Server ภายในเครือข่ายองค์กรที่ได้รับการป้องกันโดยอินเทอร์เน็ตไฟร์วอลล์ เราขอแนะนำให้กำหนดค่าโซลูชันพร็อกซีย้อนกลับ (Reverse Proxy) สำหรับไคลเอ็นต์อินเทอร์เน็ตที่ต้องเชื่อมต่อกับ Tableau Server โปรดดูการกำหนดค่าพร็อกซีและตัวจัดสรรภาระงานสำหรับ Tableau Server

ควรเปิดใช้งานไฟร์วอลในเครื่องบนระบบปฏิบัติการเพื่อป้องกัน Tableau Server ในการปรับใช้แบบเดี่ยวและแบบหลายโหนด ในการติดตั้ง Tableau Server แบบกระจาย (หลายโหนด) การสื่อสารระหว่างโหนดจะไม่ใช้การสื่อสารที่ปลอดภัย ดังนั้น คุณควรเปิดใช้งานไฟร์วอลบนคอมพิวเตอร์ที่โฮสต์ Tableau Server โปรดดูกำหนดค่าไฟร์วอลล์ในเครื่อง

คุณควรกำหนดค่า LAN เสมือนแบบแยกส่วนหรือใช้โซลูชันการรักษาความปลอดภัยเลเยอร์เครือข่ายอื่นๆ เพื่อป้องกันไม่ให้ผู้โจมตีแบบพาสซีฟสังเกตเห็นการสื่อสารระหว่างโหนด

โปรดดู พอร์ตของ Tableau Services Managerเพื่อทำความเข้าใจว่าพอร์ตและบริการใดที่ Tableau Server จำเป็นต้องใช้

6. จำกัดการเข้าถึงคอมพิวเตอร์เซิร์ฟเวอร์และไดเรกทอรีที่สำคัญ

ไฟล์การกำหนดค่าของ Tableau Server และไฟล์บันทึกอาจมีข้อมูลที่เป็นประโยชน์สำหรับผู้โจมตี ดังนั้น จึงควรจำกัดการเข้าถึงเครื่องที่กำลังใช้งาน Tableau Server อยู่ นอกจากนี้ ควรตรวจสอบว่าเฉพาะผู้ใช้ที่ได้รับอนุญาตและเชื่อถือได้เท่านั้นที่สามารถเข้าถึงไฟล์ของ Tableau Server ในไดเรกทอรี /var/opt/tableau/tableau_server/ ได้

7. สร้างข้อมูลลับและโทเค็นใหม่

ทุกบริการของ Tableau Server ที่สื่อสารกับที่เก็บหรือเซิร์ฟเวอร์แคชจะต้องตรวจสอบสิทธิ์ด้วยโทเค็นลับก่อน ระบบจะสร้างโทเค็นลับขึ้นระหว่างที่ตั้งค่า Tableau Server คีย์การเข้ารหัสที่ SSL ภายในใช้เพื่อเข้ารหัสการรับส่งข้อมูลไปยังที่เก็บ Postgres จะถูกสร้างขึ้นในระหว่างการตั้งค่าด้วยเช่นกัน

เราขอแนะนำว่าหลังจากที่ติดตั้ง Tableau Server แล้ว คุณควรสร้างคีย์การเข้ารหัสใหม่สำหรับใช้งานเอง

คุณสามารถสร้างองค์ประกอบด้านความปลอดภัยเหล่านี้ใหม่ได้ด้วยคำสั่ง tsm security regenerate-internal-tokens

เรียกใช้คำสั่งต่อไปนี้:

tsm security regenerate-internal-tokens

tsm pending-changes apply

8. ปิดใช้งานบริการที่คุณไม่ได้ใช้

เพื่อลดพื้นที่ที่ Tableau Server อาจถูกโจมตีได้ ให้ปิดใช้งานจุดเชื่อมต่อที่ไม่จำเป็น

บริการ JMX

JMX จะถูกปิดใช้งานโดยค่าเริ่มต้นอยู่แล้ว หากเปิดใช้งานไว้ แต่คุณไม่ได้ใช้งาน ก็ควรปิดใช้งานโดยใช้คำสั่งต่อไปนี้

tsm configuration set -k service.jmx_enabled -v false

tsm pending-changes apply

9. ยืนยันการกำหนดค่าอายุใช้งานของเซสชัน

ตามค่าเริ่มต้นแล้ว Tableau Server ไม่ได้กำหนดการหมดเวลาของเซสชันที่แน่นอน ซึ่งหมายความว่าเซสชันของไคลเอ็นต์บนเบราว์เซอร์ (การเขียนเว็บ) จะสามารถเปิดต่อไปได้โดยไม่มีกำหนด หากไม่เกินระยะหมดเวลาเนื่องจากไม่มีการใช้งานของ Tableau Server ระยะหมดเวลาเนื่องจากไม่มีการใช้งานตามค่าเริ่มต้นคือ 240 นาที

หากนโยบายความปลอดภัยของคุณกำหนดให้ต้องมีระยะหมดเวลา คุณสามารถกำหนดระยะหมดเวลาของเซสชันที่แน่นอนได้ อย่าลืมตั้งค่าระยะหมดเวลาของเซสชันที่แน่นอนในช่วงที่รองรับการอัปโหลดการแยกข้อมูลที่ใช้เวลานานที่สุดหรือการดำเนินการเผยแพร่เวิร์กบุ๊กในองค์กรของคุณ การตั้งค่าระยะหมดเวลาของเซสชันที่น้อยเกินไปอาจส่งผลให้การแยกข้อมูลและการเผยแพร่ล้มเหลวสำหรับการดำเนินการที่ใช้เวลานาน

วิธีการกำหนดระยะหมดเวลาของเซสชัน ให้เรียกใช้คำสั่งต่อไปนี้

tsm configuration set -k wgserver.session.apply_lifetime_limit -v true

tsm configuration set -k wgserver.session.lifetime_limit -v value โดยกำหนดให้ value เป็นจำนวนนาที ค่าเริ่มต้นคือ 1440 ซึ่งก็คือ 24 ชั่วโมง

tsm configuration set -k wgserver.session.idle_limit -v value โดยกำหนดให้ value เป็นจำนวนนาที ค่าเริ่มต้นคือ 240

tsm pending-changes apply

เซสชันสำหรับไคลเอ็นต์ที่เชื่อมต่อ (Tableau Desktop, Tableau Mobile, Tableau Prep Builder, Bridge และโทเค็นการเข้าถึงส่วนบุคคล) ให้ใช้โทเค็น OAuth เพื่อให้ผู้ใช้อยู่ในระบบต่อไปโดยสร้างเซสชันขึ้นมาอีกครั้ง คุณสามารถปิดใช้งานการทำงานนี้ได้หากต้องการให้เซสชันของไคลเอ็นต์ Tableau ทั้งหมดอยู่ภายใต้การควบคุมดูแลโดยขีดจำกัดของเซสชันบนเบราว์เซอร์ที่ควบคุมโดยคำสั่งข้างต้น โปรดดู ปิดใช้งานการตรวจสอบสิทธิ์ไคลเอ็นต์อัตโนมัติ

10. กำหนดค่ารายการที่อนุญาตของเซิร์ฟเวอร์สำหรับแหล่งข้อมูลแบบไฟล์

ตั้งแต่การเปิดตัว Tableau Server ในเดือนตุลาคม 2023 ลักษณะการเข้าถึงตามไฟล์ตามค่าเริ่มต้นมีการเปลี่ยนแปลง ก่อนหน้านี้ Tableau Server จะอนุญาตให้ผู้ใช้ Tableau Server ที่ได้รับสิทธิ์ในการสร้างเวิร์กบุ๊กที่ใช้ไฟล์ในเซิร์ฟเวอร์เป็นแหล่งข้อมูลแบบไฟล์ (เช่น สเปรดชีต) ในการเปิดตัวเดือนตุลาคม 2023 สิทธิ์เข้าถึงไฟล์ที่จัดเก็บไว้ใน Tableau หรือการแชร์ระยะไกลจะต้องได้รับการกำหนดค่าเป็นพิเศษบน Tableau Server โดยใช้การตั้งค่าที่อธิบายไว้ที่นี่

การตั้งค่านี้ช่วยให้คุณสามารถจำกัดสิทธิ์เข้าถึงโดยบัญชีระบบ tableau ไปยังไดเรกทอรีที่คุณระบุเท่านั้น

หากต้องการกำหนดค่าสิทธิ์เข้าถึงไฟล์ที่แชร์ คุณต้องกำหนดค่าฟังก์ชันรายการที่อนุญาต ซึ่งจะช่วยให้คุณจำกัดการเข้าถึงบัญชีของ tableau ให้เหลือเพียงเส้นทางไดเรกทอรีที่คุณโฮสต์ไฟล์ข้อมูลเท่านั้น

  1. ในคอมพิวเตอร์ที่ Tableau Server ทำงานอยู่ ให้ระบุไดเรกทอรีที่คุณจะโฮสต์ไฟล์แหล่งข้อมูล

    สำคัญ ตรวจสอบว่าเส้นทางไฟล์ที่คุณระบุในการตั้งค่านี้มีอยู่และเข้าถึงได้โดยบัญชีระบบ

  2. เรียกใช้คำสั่งต่อไปนี้:

    tsm configuration set -k native_api.allowed_paths -v "path" โดยให้เส้นทางเป็นไดเรกทอรีที่จะเพิ่มไปยังรายการที่อนุญาต ไดเรกทอรีย่อยทั้งหมดของเส้นทางที่ระบุจะเพิ่มไปยังรายการที่อนุญาต คุณต้องเพิ่มเครื่องหมายแบ็กสแลชปิดท้ายเส้นทางที่ระบุ หากคุณต้องการระบุหลายเส้นทาง ให้แยกระหว่างแต่ละเส้นทางด้วยเครื่องหมายเซมิโคลอนดังเช่นตัวอย่างต่อไปนี้:

    tsm configuration set -k native_api.allowed_paths -v "/datasources;/HR/data/"

    tsm pending-changes apply

11. เปิดใช้งาน HTTP Strict Transport Security สำหรับไคลเอ็นต์เว็บเบราว์เซอร์

HTTP Strict Transport Security (HSTS) เป็นนโยบายที่กำหนดค่าไว้บนบริการเว็บแอปพลิเคชัน เช่น Tableau Server เมื่อเบราว์เซอร์ที่สอดคล้องกับนโยบายดังกล่าวตรวจพบเว็บแอปพลิเคชันที่ใช้งาน HSTS การสื่อสารทั้งหมดที่ติดต่อกับบริการดังกล่าวจะต้องใช้การเชื่อมต่อที่ปลอดภัย (HTTPS) เบราว์เซอร์หลักๆ ต่างรองรับ HSTS

หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับวิธีการทำงานของ HSTS และเบราว์เซอร์ที่รองรับ โปรดดู หน้าเว็บ The Open Web Application Security Project ในหัวข้อ HTTP Strict Transport Security Cheat Sheet(ลิงก์จะเปิดในหน้าต่างใหม่)

หากต้องการเปิดใช้งาน HSTS ให้เรียกใช้คำสั่งต่อไปนี้บน Tableau Server

tsm configuration set -k gateway.http.hsts -v true

ตามค่าเริ่มต้น นโยบาย HSTS จะถูกกำหนดไว้เป็นเวลาหนึ่งปี (31,536,000 วินาที) ช่วงเวลานี้ระบุระยะเวลาที่เบราว์เซอร์จะเข้าถึงเซิร์ฟเวอร์ผ่าน HTTPS คุณควรพิจารณาตั้งค่า “max-age” ให้สั้นในระหว่างที่เริ่มใช้งาน HSTS ครั้งแรก หากต้องการเปลี่ยนระยะเวลานี้ ให้เรียกใช้ tsm configuration set -k gateway.http.hsts_options -v max-age=<seconds> ตัวอย่างเช่น หากต้องการตั้งค่าระยะเวลาของนโยบาย HSTS เป็น 30 วัน ให้ป้อน tsm configuration set -k gateway.http.hsts_options -v max-age=2592000

tsm pending-changes apply

12. ปิดใช้งานการเข้าถึงสำหรับผู้เยี่ยมชม

ใบอนุญาตแบบตามคอร์ของ Tableau Server มีตัวเลือกสำหรับผู้ใช้ที่เป็นผู้เยี่ยมชม ซึ่งจะอนุญาตให้ผู้ใช้ทุกคนในองค์กรของคุณสามารถดูและโต้ตอบกับมุมมองของ Tableau ที่ฝังอยู่ในหน้าเว็บได้

ตามค่าเริ่มต้นแล้ว ระบบจะเปิดใช้งานการเข้าถึงสำหรับผู้เยี่ยมชมใน Tableau Server ที่มีการใช้งานการให้สิทธิ์อนุญาตแบบตามคอร์

การเข้าถึงสำหรับผู้เยี่ยมชมจะช่วยให้ผู้ใช้สามารถดูมุมมองที่ฝังอยู่ได้ ผู้ใช้ที่เป็นผู้เยี่ยมชมจะไม่สามารถเรียกดูอินเทอร์เฟซของ Tableau Server หรือดูองค์ประกอบอินเทอร์เฟซเซิร์ฟเวอร์ในมุมมองได้ เช่น ชื่อผู้ใช้ การตั้งค่าบัญชี ความคิดเห็น และอื่นๆ

หากองค์กรของคุณใช้งาน Tableau Server โดยให้สิทธิ์อนุญาตแบบตามคอร์และไม่จำเป็นต้องใช้การเข้าถึงสำหรับผู้เยี่ยมชม ให้ปิดใช้งานการเข้าถึงสำหรับผู้เยี่ยมชม

คุณสามารถปิดใช้งานการเข้าถึงสำหรับผู้เยี่ยมชมที่ระดับเซิร์ฟเวอร์หรือที่ระดับไซต์ก็ได้

ทั้งนี้ คุณต้องเป็นผู้ดูแลระบบเซิร์ฟเวอร์จึงจะปิดใช้งานบัญชีผู้เยี่ยมชมที่ระดับเซิร์ฟเวอร์หรือระดับไซต์ได้

วิธีปิดใช้งานการเข้าถึงสำหรับผู้เยี่ยมชมที่ระดับเซิร์ฟเวอร์มีดังนี้

  1. ในเมนูของไซต์ ให้คลิกจัดการไซต์ทั้งหมด แล้วจึงคลิกการตั้งค่า > ทั่วไป

  2. ในส่วนการเข้าถึงสำหรับผู้เยี่ยมชม ให้ยกเลิกการทำเครื่องหมายในช่องเปิดใช้งานบัญชีผู้เยี่ยมชม

  3. คลิกบันทึก

วิธีปิดใช้งานการเข้าถึงแบบผู้เยี่ยมชมสำหรับไซต์มีดังนี้

  1. ในเมนูของไซต์ ให้เลือกไซต์

  2. คลิกการตั้งค่า และในหน้าการตั้งค่า ให้ยกเลิกการทำเครื่องหมายในช่องเปิดใช้งานบัญชีผู้เยี่ยมชม

หากต้องการข้อมูลเพิ่มเติม โปรดดู ผู้ใช้ที่เป็นผู้เยี่ยมชม

13. ตั้งค่าส่วนหัว HTTP ของ Referrer-policy เป็น 'same-origin'

ตั้งแต่รุ่น 2019.2 เป็นต้นไป Tableau Server จะมีความสามารถในการกำหนดค่าส่วนหัวของนโยบายตัวอ้างอิง Referrer-Policy HTTP นโยบายนี้จะเปิดใช้งานด้วยการทำงานตามค่าเริ่มต้นซึ่งจะรวม URL ต้นทางสำหรับการเชื่อมต่อที่ "ปลอดภัยในฐานะ" (no-referrer-when-downgrade) ซึ่งจะส่งข้อมูลผู้อ้างอิงต้นทางไปยังการเชื่อมต่อที่คล้ายกันเท่านั้น (HTTP to HTTP) หรือที่ปลอดภัยมากกว่า (HTTP to HTTPS)

อย่างไรก็ตาม เราขอแนะนำให้ตั้งค่านี้เป็น same-origin ซึ่งจะส่งข้อมูลผู้อ้างอิงไปยังต้นทางของไซต์เดียวกันเท่านั้น โดยคำขอจากภายนอกไซต์จะไม่ได้รับข้อมูลผู้อ้างอิง

หากต้องการอัปเดต Referrer-policy ให้เป็น same-origin ให้เรียกใช้คำสั่งต่อไปนี้

tsm configuration set -k gateway.http.referrer_policy -v same-origin

tsm pending-changes apply

หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับการกำหนดค่าส่วนหัวเพิ่มเติมเพื่อเพิ่มความปลอดภัย โปรดดู ส่วนหัวการตอบสนอง HTTP

14. กำหนดค่า TLS สำหรับการเชื่อมต่อ SMTP

ตั้งแต่รุ่น 2019.4 เป็นต้นไป Tableau Server จะมีความสามารถในการกำหนดค่า TLS สำหรับการเชื่อมต่อ SMTP Tableau Server รองรับเฉพาะ STARTTLS (TLS แบบตามโอกาสหรือแบบชัดแจ้ง)

คุณสามารถเลือกกำหนดค่าให้ Tableau Server เชื่อมต่อกับเซิร์ฟเวอร์เมลได้ หลังจากกำหนดค่า SMTP แล้ว คุณสามารถกำหนดค่าให้ Tableau Server ส่งอีเมลให้แก่ผู้ดูแลระบบเซิร์ฟเวอร์เกี่ยวกับข้อผิดพลาดของระบบ และส่งอีเมลให้แก่ผู้ใช้เซิร์ฟเวอร์เกี่ยวกับมุมมองที่สมัครใช้งานและการแจ้งเตือนเกี่ยวกับข้อมูลได้

วิธีการกำหนดค่า TLS สำหรับ SMTP มีดังนี้

  1. อัปโหลดใบรับรองที่ใช้ร่วมกันได้ไปยัง Tableau Server โปรดดู tsm security custom-cert add
  2. กำหนดค่าการเชื่อมต่อ TLS โดยใช้ TSM CLI

    เรียกใช้คำสั่ง TSM ต่อไปนี้เพื่อเปิดใช้งานและบังคับการเชื่อมต่อ TLS กับเซิร์ฟเวอร์ SMTP และเพื่อเปิดใช้งานการตรวจสอบใบรับรอง

    tsm configuration set -k svcmonitor.notification.smtp.ssl_enabled -v true

    tsm configuration set -k svcmonitor.notification.smtp.ssl_required -v true

    tsm configuration set -k svcmonitor.notification.smtp.ssl_check_server_identity -v true

    ตามค่าเริ่มต้นแล้ว Tableau Server จะรองรับ TLS เวอร์ชัน 1, 1.1 และ 1.2 แต่เราขอแนะนำให้คุณระบุ TLS เวอร์ชันสูงสุดที่เซิร์ฟเวอร์ SMTP รองรับ

    เรียกใช้คำสั่งต่อไปนี้เพื่อกำหนดเวอร์ชัน ค่าที่ถูกต้องได้แก่ SSLv2Hello, SSLv3, TLSv1, TLSv1.1 และ TLSv1.2 ตัวอย่างต่อไปนี้เป็นการตั้งค่าเวอร์ชันของ TLS เป็นเวอร์ชัน 1.2

    tsm configuration set -k svcmonitor.notification.smtp.ssl_versions -v "TLSv1.2"

    หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับตัวเลือกการกำหนดค่า TLS โปรดดู กำหนดค่าการตั้งค่า SMTP

  3. รีสตาร์ท Tableau Server เพื่อให้ระบบนำการเปลี่ยนแปลงมาใช้ เรียกใช้คำสั่งต่อไปนี้:

    tsm pending-changes apply

15. กำหนดค่า SSL สำหรับ LDAP

หากคุณกำหนดค่าให้ Tableau Server ใช้ที่เก็บข้อมูลประจำตัวภายนอก LDAP ทั่วไป เราขอแนะนำให้กำหนดค่า SSL เพื่อป้องกันการตรวจสอบสิทธิ์ระหว่าง Tableau Server กับเซิร์ฟเวอร์ LDAP ของคุณ โปรดดู กำหนดค่าช่องทางที่เข้ารหัสไปยังที่เก็บข้อมูลประจำตัวภายนอก LDAP

หากคุณกำหนดค่าให้ Tableau Server ใช้ Active Directory เราขอแนะนำให้เปิดใช้งาน Kerberos เพื่อป้องกันการรับส่งข้อมูลในการตรวจสอบสิทธิ์ โปรดดู Kerberos

รายการการเปลี่ยนแปลง

DateChange
May 2018Added clarification: Do not disable REST API in organizations that are running Tableau Prep.
May 2019Added recommendation for referrer-policy HTTP header.
June 2019Removed recommendation to disable Triple-DES. As of version 2019.3, Triple-DES is no longer a default supported cipher for SSL. See มีอะไรเปลี่ยนไปบ้าง สิ่งที่ต้องรู้ก่อนจะอัปเกรด.
January 2020Added recommendation to configure TLS for SMTP.
February 2020Added recommendation to configure SSL for LDAP server.
May 2020Added TLS v1.3 to the disabled list of TLS ciphers. Added clarification to introduction about topic versioning.
October 2020Added TLS v1.3 as a default supported cipher.
January 2021Added clarification: All products enabled by the Data Management license require REST API.
February 2021Removed recommendation to disable REST API. The API is now used internally by Tableau Server and disabling it may limit functionality.
ขอบคุณสำหรับข้อเสนอแนะของคุณส่งข้อเสนอแนะของคุณเรียบร้อยแล้ว ขอขอบคุณ