tsm security
使用 tsm security 命令配置 Tableau Server 对外部(网关)SSL 或存储库 (Postgres) SSL 的支持。 存储库 SSL 配置包括通过从 Tableau 客户端(包括 Tableau Desktop、Tableau Mobile 和 Web 浏览器)到存储库的直接连接来启用 SSL 的选项。
- tsm security custom-cert
- tsm security custom-indexandsearch-ssl
- tsm security custom-tsm-ssl
- tsm security external-ssl
- tsm security kms
- tsm security maestro-rserve-ssl
- tsm security maestro-tabpy-ssl
- tsm security regenerate-internal-tokens
- tsm security repository-ssl
- tsm security rotate-coordination-service-secrets
- 从 2020.2 版本开始,若要配置 Rserve 和 TabPy 分析扩展程序,请使用 Tableau Server 管理页面。请参见配置与分析扩展程序的连接。
先决条件
在配置 SSL 之前,您必须获取证书,然后将其复制到运行 Tableau Server 网关进程的计算机。需要进行额外的准备才能启用客户端直接连接。若要了解详情,请参阅以下文章:
针对与来往 Tableau Server 的外部 HTTP 流量配置 SSL
有关相互(双向)SSL 的信息,请参见配置相互 SSL 身份验证和 tsm authentication mutual-ssl 命令。
tsm security authorize-credential-migration
授权 Tableau 用户使用 Content Migration Tool 将嵌入式凭据从 Tableau Server 安装迁移到 Tableau Cloud 站点。Tableau Server 和 Tableau Cloud 都必须具有 Advanced Management 许可证才能迁移内容。有关详细信息,请参见迁移包含嵌入式凭据的工作簿和数据源。
您可以使用 tsm security cancel-credential-migrations 命令取消授权。
概要
tsm security authorize-credential-migration --source-site-url-namespace <Tableau Server site ID> --destination-site-url-namespace <Tableau Cloud site ID> --destination-server-url <Tableau Cloud site url> --authorized-migration-runner <username> --destination-public-encryption-key <public key>
选项
--source-site-url-namespace
必需。Tableau Server 站点的站点 ID。在 URL 中使用站点 ID 以唯一地标识站点。
例如,名为 West Coast Sales 的站点的 ID 可能为 west-coast-sales。
--destination-site-url-namespace
必需。Tableau Cloud 站点的站点 ID。在 URL 中使用站点 ID 以唯一地标识站点。
--destination-server-url
必需。Tableau Cloud 站点部署到的 Pod 的 URL。您指定的 URL 必须包含尾部斜杠 (
/)。登录到 Tableau Cloud 后,您的 pod 将显示在站点 URL 的第一部分。例如,
https://10az.online.tableau.com/是“United States - West (10AZ)”pod。有关 pod 的详细信息,请参见 Salesforce 信任(链接在新窗口中打开)页面。--authorized-migration-runner
必需。有权迁移嵌入式凭据的 Tableau Server 用户的用户名。
--destination-public-encryption-key
必需。指定在 Tableau Cloud 站点上生成的公钥。
--expiration-time-in-days
可选。授权过期之前的天数。默认值为 7 天。
版本:在版本 2023.1 中已停用。从 2023.1.0 开始,此选项不再有效,如果使用将会产生错误。到期值硬编码为 7 天。
示例
以下示例授权用户“admin”将包含嵌入式凭据的工作簿和已发布数据源从 Tableau Server 站点“ExampleA”迁移到 Tableau Cloud 站点“ExampleB”。授权将在 9 天后到期。
tsm security authorize-credential-migration --source-site-url-namespace ExampleA --destination-site-url-namespace ExampleB --destinationServerUrl https://10ay.online.tableau.com/ --authorized-migration-runner admin --destination-public-encryption-key <public key> --expiration-time-in-days 9
tsm security cancel-credential-migrations
取消使用 Content Migration Tool 迁移嵌入式凭据的授权。有关详细信息,请参见“迁移带有嵌入式凭据的工作簿和数据源”。
概要
tsm security cancel-credential-migrations --source-site-url-namespace <Tableau Server site ID>
选项
--source-site-url-namespace
必需。Tableau Server 站点的站点 ID。在 URL 中使用站点 ID 以唯一地标识站点。
例如,名为 West Coast Sales 的站点的 ID 可能为 west-coast-sales。
tsm security custom-cert add
将自定义 CA 证书添加到 Tableau Server。此证书可根据需要用于为 SMTP 服务器和 Tableau Server 之间的 TLS 通信建立信任。
如果自定义证书已存在,此命令将失败。您可以使用 tsm security custom-cert delete 命令移除现有自定义证书。
注意:使用此命令添加的证书可能由其他 Tableau Server 服务用于 TLS 连接。
作为灾难恢复计划的一部分,我们建议将证书文件的备份保留在 Tableau Server 外的安全位置。添加到 Tableau Server 的证书文件将由客户端文件服务存储并分发到其他节点。但是,该文件不会以可恢复格式存储。请参见Tableau Server 客户端文件服务。
概要
tsm security custom-cert add --cert-file <file.crt> [global options]
选项
-c, --cert-file <file.crt>
必需。以有效 PEM 或 DER 格式指定证书文件的名称。
tsm security custom-indexandsearch-ssl add
为 Tableau Server 2023.1 及更高版本的索引和搜索服务器添加自定义证书。SSL 实施基于 Opensearch.org TLS 实施。请参见配置 TLS 证书(链接在新窗口中打开)了解详细信息。
- --admin <file.crt>
- 必需。
- 管理员证书文件。指定有效的 PEM 编码 x509 证书的路径,其扩展名为 .crt。
- --admin-key <file.key>
- 必需。
- 指定有效的 RSA 或 DSA 私钥文件 (PKXA #8),按照约定具有 .key 扩展名。
- -- ca <file.crt>
- 必需。
- 受信任的 CA 文件。指定有效的 PEM 编码 x509 证书的路径,其扩展名为 .crt。
- --node <file.crt>
- 必需。
- 节点证书文件。指定有效的 PEM 编码 x509 证书的路径,其扩展名为 .crt。此命令会将此证书分发到群集中的每个节点。使用通配符证书允许在单个证书中包含完整的节点专有名称 (DN) 数组。
- -- node-key <file.key>
- 必需。
- 指定有效的 RSA 或 DSA 私钥文件 (PKXA #8),按照约定具有 .key 扩展名。
概要
tsm security custom-indexandsearch-ssl add --node <file.crt> --admin
<file.crt> --node-key <file.key> --admin-key
<file.key> --ca <file.crt> [parameters]
[global options]
tsm security custom-indexandsearch-ssl list
列出索引和搜索服务器 SSL 自定义证书配置的详细信息。
概要
tsm security custom-indexandsearch-ssl list[global options]
tsm security custom-tsm-ssl disable
禁用用于连接到 TSM 控制器的自定义 SSL 证书。恢复为自动管理的自签名证书。
概要
tsm security custom-tsm-ssl disable [global options]
tsm security custom-tsm-ssl enable
为 Tableau Server 2023.1 及更高版本的 TSM 控制器连接启用自定义 SSL 证书。如果您已启用 SSL 并且需要更新过期的证书,请使用此命令。
- -cf,--cert-file <file.crt>
- 必需。
- 指定有效的 PEM 编码 x509 证书的路径,其扩展名为 .crt。证书上的使用者名称必须与运行管理控制器的 Tableau 计算机的主机名或 IP 地址相匹配。默认情况下,管理控制器在 Tableau Server 部署的初始节点上运行。
- -kf,--key-file <file.key>
- 必需。
- 指定有效的 RSA 或 DSA 私钥文件 (PKXA #8),按照约定具有 .key 扩展名。此密钥不能受密码保护。
- --chain-file <file.crt>
- 可选。
指定证书链文件 (.crt) 的路径
链文件连接构成服务器证书的证书链的所有证书。
文件中的所有证书必须为 x509 PEM 编码,文件扩展名必须为 .crt(而不是 .pem)。
- --skip-validation
- 可选
- 传递此选项以跳过证书颁发机构根验证。
概要
tsm security custom-tsm-ssl enable --key-file <file.key> --cert-file <file.crt> [global options]
tsm security custom-tsm-ssl list
列出 TSM 自定义证书配置的详细信息。
概要
tsm security custom-tsm-ssl list[global options]
tsm security external-ssl disable
删除服务器现有的 SSL 配置设置,并停止加密外部客户端与服务器之间的流量。
概要
tsm security external-ssl disable [global options]
tsm security external-ssl enable
通过外部 HTTP 通信为 SSL 启用和指定证书和密钥文件。
概要
tsm security external-ssl enable --cert-file <file.crt> --key-file <file.key> [options] [global options]
选项
--cert-file <file.crt>
必需。指定有效的 PEM 编码 x509 证书的名称,其扩展名为 .crt。
--key-file <file.key>
必需。指定有效的 RSA 或 DSA 私钥文件(按照约定具有 .key 扩展名)。
--chain-file <chainfile.crt>
指定证书链文件 (.crt)
Mac 上的 Tableau Desktop 需要证书链文件。在某些情况下,Tableau Mobile 可能需要证书链文件。
某些证书提供者会针对 Apache 颁发两个证书。第二个证书是链文件,连接构成服务器证书的证书链的所有证书。
文件中的所有证书必须为 x509 PEM 编码,文件扩展名必须为 .crt(而不是 .pem)。
--passphrase
可选。证书文件的密码。您输入的密码将在空闲时加密。
注意:如果创建包含密码的证书密钥文件,则无法为 SAML 重用 SSL 证书密钥。
--protocols <列出协议>
可选。列出想要允许或拒绝的传输层安全性 (TLS) 协议版本。
TLS 是 SSL 的改进版本。Tableau Server 使用 TLS 来进行身份验证和加密连接。接受的值包括 Apache 支持的协议版本。要拒绝协议,请在协议版本前面添加减号 (-) 字符。
默认设置:
"all, -SSLv2, -SSLv3"此默认值显式不允许客户端使用 SSL v2 或 SSL v3 协议连接到 Tableau Server。但是,我们建议您也拒绝 TLS v1 和 TLS v1.1。
在您拒绝特定版本的 TLS 之前,请确认您的用户连接到 Tableau Server 所使用的浏览器是否支持 TLS v1.2。在浏览器更新之前,您可能需要保留对 TLSv1.1 的支持。
如果您不需要支持 TLS v1 或 v1.1,请使用以下命令允许 TLS v1.2(使用值
all),并显式拒绝 SSL v2、SSL v3、TLS v1 和 TLS v1.1。tsm security external-ssl enable --cert-file file.crt --key-file file.key --protocols "all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1"
tsm security external-ssl list
显示与网关外部 SSL 配置相关的设置列表。该列表包括正在使用的证书文件的名称,但不包括其位置。
概要
tsm security external-ssl list [global options]
tsm security kms set-mode aws
将 KMS 模式设置为 AWS。
您将需要 AWS KMS 中的完整 ARN 字符串。此字符串位于 AWS KMS 管理页面的“常规配置”部分中。ARN 以此格式显示: arn:aws:kms:<region>:<account>:key/<CMK_ID>,例如,arn:aws:kms:us-west-2:867530990073:key/1abc23de-fg45-6hij-7k89-1l0mn1234567。
有关详细信息,请参见AWS 密钥管理系统。
概要
tsm security kms set-mode aws --key-arn "<arn>" --aws-region "<region>" [global options]
选项
--key-arn
必需。
--key-arn选项从 AMS KMS 管理页面的“常规配置”中的 ARN 中直接复制字符串。--aws-region
必需。按 Amazon API 网关表(链接在新窗口中打开)的“区域”列中所示的方式指定区域。
示例
举例来说,如果 AWS KMS 实例正在 us-west-2 区域中运行,您的帐号为 867530990073,CMK 密钥为 1abc23de-fg45-6hij-7k89-1l0mn1234567,则命令将为:
tsm security kms set-mode aws --aws-region "us-west-2" --key-arn "arn:aws:kms:us-west-2:867530990073:key/1abc23de-fg45-6hij-7k89-1l0mn1234567"
tsm security kms set-mode azure
将 KMS 模式设置为 Azure 密钥库。
注意:运行 tsm security kms status 时,KMS 模式将显示“Azure 密钥库”,但可将其设置为“Azure”。
您将需要 Azure 密钥库的名称和 Azure 中密钥的名称。
有关详细信息,请参见Azure Key Vault。
概要
tsm security kms set-mode azure --key-name "<key_name>" --vault-name "<vault_name>" [global options]
选项
--key-name
必需。存储在 Azure 密钥库中的不对称密钥的名称。
--vault-name
必需。Azure 密钥库的名称。
示例
举例来说,如果您的 Azure 密钥库名为 tabsrv-keyvault,并且您的密钥为 tabsrv-sandbox-key01,则命令将为:
tsm security kms set-mode azure --key-name "tabsrv-sandbox-key01" --vault-name "tabsrv-keyvault"
tsm security kms set-mode local
将 KMS 模式设置或重置为本地。本地是默认 KMS 模式。有关详细信息,请参见Tableau Server 密钥管理系统。
概要
tsm security kms set-mode local [global options]
tsm security kms status
查看 KMS 配置的状态。返回的状态包括:
- 状态:OK 表示,在多节点安装的情况下,则 Tableau 或控制器节点可访问 KMS。
- 模式:本地、AWS 或 Azure 密钥库。指示正在使用哪种 KMS 模式。
加密和解密主加密密钥:
KMS 存储主数据提取密钥 (MEK) 的集合。每个 MEK 具有:
- 一个 ID,例如 8ddd70df-be67-4dbf-9c35-1f0aa2421521
- “加密或解密密钥”或“仅解密密钥”状态。如果密钥为“加密或解密”,Tableau Server 将使用它对新数据进行加密。否则,密钥将仅用于解密。
- 创建时间戳,例如“创建时间: 2019-05-29T23:46:54Z。”
- 首次过渡到加密和解密:指示密钥何时成为加密或解密密钥的时间戳。
- 过渡到仅解密:指示密钥何时过渡到仅解密的时间戳。
返回的其他值取决于 KMS 模式。
当 KMS 模式为 AWS 时,将返回以下各项:
- 客户主密钥 (CMK) 的 ARN (ID)。
- CMK 所在的区域。
- 正在使用的根主密钥 (RMK) 的 ID。RMK 是通过 CMK 加密的密钥。Tableau Server 通过调用 AWS KMS 对 CMK 进行解密。RMK 随后用于对主数据提取密钥 (MEK) 进行加密/解密。RMK 可以更改,但一次只能有一个。
当 KMS 模式为 Azure 密钥库时,将返回以下各项:
- 名称:Azure 密钥库的名称。
- Azure 密钥库密钥名称:库中密钥的名称。
概要
tsm security kms status [global options]
tsm security maestro-rserve-ssl disable
禁用 Rserve 连接。
有关详细信息,请参见在您的流程中使用 R (Rserve) 脚本。
tsm security maestro-rserve-ssl enable
配置 Rserve 服务器和 Tableau Server 版本 2019.3 或更高版本的连接。
有关详细信息,请参见在您的流程中使用 R (Rserve) 脚本。
概要
tsm security maestro-rserve-ssl enable --connection-type <maestro-rserve-secure | maestro-rserve> --rserve-host <Rserve IP address or host name> --rserve-port <Rserve port> --rserve-username <Rserve username> --rserve-password <Rserve password> --rserve-connect-timeout-ms <RServe connect timeout>
选项
--connection-type
选择
maestro-rserve-secure以启用安全连接,或选择maestro-rserve以启用不安全的连接。如果选择maestro-rserve-secure,请在命令行中指定证书文件路径。--rserve-host
主机
--rserve-port
- 端口
--rserve-username
- 用户名
--rserve-password
- 密码
--rserve-connect-timeout-ms
- 连接超时(以毫秒为单位)。例如,
--rserve-connect-timeout-ms 900000。
tsm security maestro-tabpy-ssl disable
禁用 TabPy 连接。
有关详细信息,请参见在您的流程中使用 Python 脚本。
tsm security maestro-tabpy-ssl enable
配置 TabPy 服务器和 Tableau Server 版本 2019.3 或更高版本的连接。
有关详细信息,请参见在您的流程中使用 Python 脚本。
概要
tsm security maestro-tabpy-ssl enable --connection-type <maestro-tabpy-secure | maestro-tabpy> --tabpy-host <TabPy IP address or host name> --tabpy-port <TabPy port> --tabpy-username <TabPy username> --tabpy-password <TabPy password> --tabpy-connect-timeout-ms <TabPy connect timeout>
选项
--connection-type
选择
maestro-tabpy-secure以启用安全连接,或选择maestro-tabpy以启用不安全的连接。如果选择maestro-tabpy-secure,请在命令行中指定证书文件 -cf<证书文件路径> 。--tabpy-host
主机
--tabpy-port
- 端口
--tabpy-username
- 用户名
--tabpy-password
- 密码
--tabpy-connect-timeout-ms
- 连接超时(以毫秒为单位)。例如,
--tabpy-connect-timeout-ms 900000。
tsm security regenerate-internal-tokens
此命令执行以下操作:
如果 Tableau Server 正在运行,请将其停止。
为搜索服务器的 Postgres 存储库生成新的内部 SSL 证书。
为所有内部管理的密码生成新密码。
更新所有 Postgres 存储库密码。
为资产密钥管理生成新的加密密钥,并使用新密钥对资产密钥进行加密。
为配置密文(主密钥)生成新的加密密钥,并使用该密钥对配置进行加密。
使用所有这些密文重新配置和更新 Tableau Server。在分布式部署中,此命令还会分发重新配置内容,并跨群集中的所有节点进行更新。
重新生成新的主密钥,将其添加到主密钥存储文件,然后创建新的安全令牌供内部使用。
启动 Tableau Server。
如果打算在运行此命令后向群集中添加节点,您将需要生成新的节点配置文件,以便更新此命令生成的令牌、密钥和密文。请参见安装和配置附加节点。
有关内部密码的详细信息,请参见管理服务器密文。
概要
tsm security regenerate-internal-tokens [options] [global options]
选项
--ignore-prompt
可选。
在没有提示的情况下执行重新启动(如有必要)。此选项只会隐藏提示。重新启动行为不会改变。
--request-timeout <timeout in seconds>
可选。
等待指定的时间以完成命令。默认值为 1800(30 分钟)。
tsm security repository-ssl disable
停止加密存储库与其他服务器组件之间的流量,并停止支持 Tableau 客户端的直接连接。
概要
tsm security repository-ssl disable [global-options]
tsm security repository-ssl enable
当存储库为本地存储库时,启用 SSL 并生成用于 Postgres 存储库与其他服务器组件之间的加密流量的服务器 .crt 和 .key 文件。
从版本 2021.4 开始,当使用外部存储库时,导入服务器的 .crt 和“密钥文件”,用于对外部 PostgreSQL 存储库和 Tableau Server 组件之间的流量进行加密。
如果启用此项,则还会为你提供通过从 Tableau 客户端到服务器的直接连接来启用 SSL 的选项。
概要
tsm security repository-ssl enable [options] [global options]
选项
-i, --internal-only
可选。此选项仅适用于存储库位于 Tableau Server 本地且未在 Tableau Server 外部配置的情况。此选项不应用于配置有外部存储库的 Tableau Server。
如果设置为
--internal-only,则 Tableau Server 在存储库与其他服务器组件之间使用 SSL,它支持但不需要 SSL,即可通过 tableau 或 readonly 用户进行直接连接。如果未设置此选项,则对于存储库与其他服务器组件之间的流量,以及 Tableau 客户端的直接连接(通过 tableau 或 readonly 用户进行的连接),Tableau Server 需要使用 SSL。
指定此选项时,还必须完成配置 Postgres SSL 以允许从客户端直接连接中所描述的步骤。
-c, --certificate
可选。版本 2021.4 中新增。此选项仅适用于配置有外部存储库的 Tableau Server,可用于在安装后启用或禁用 SSL 连接。
此选项允许您在 Tableau Server 和外部存储库之间启用 SSL/TSL 连接。使用此选项时,请提供 SSL 证书文件的完整路径,包括外部存储库的文件名。此文件与启用外部存储库时使用的文件相同。
tsm security repository-ssl get-certificate-file
获取用于与 Tableau 存储库进行 SSL 通信的公共证书文件。必须为存储库通信启用 SSL,然后才能检索证书。证书文件将自动分发给 Tableau Server 群集中的内部存储库客户端。为了使远程客户端能够通过 SSL 连接到存储库,您必须将公共证书文件复制到每个客户端。
此命令仅适用于使用本地存储库的 Tableau Server,并且在 Tableau Server 配置有外部存储库时会导致错误。
概要
tsm security repository-ssl get-certificate-file [global-options]
选项
-f, --file
必需。
应在其中保存证书文件的完整路径和文件名(扩展名为 .cert)。如果存在重复文件,则将覆盖文件。
tsm security repository-ssl list
返回现有存储库 (Postgres) SSL 配置。
概要
tsm security repository-ssl list [global-options]
tsm security rotate-coordination-service-secrets
版本:版本 2022.1 中新增
生成协调服务用于安全连接的新证书、密钥和信任存储。
概要
tsm security rotate-coordination-service-secrets [options][global options]
选项
--coord-svc-restart-timeout <秒数>
可选。
等待指定的秒数让协调服务重新启动。默认值:1200(20 分钟)。
--ignore-prompt
可选。
在没有提示的情况下执行重新启动(如有必要)。
--request-timeout <秒数>
可选。
等待指定的秒数让命令完成。默认值:1800 秒(30 分钟)。
全局选项
-h, --help
可选。
显示命令帮助。
-p, --password <password>
在会话不是活动状态的情况下为必需,
-u或--username也为必需。为在
-u或--username中指定的用户指定密码。如果密码包括空格或特殊字符,请将其括在引号中:
--password 'my password'-s, --server https://<hostname>:8850
可选。
对 Tableau 服务管理器使用指定的地址。URL 必须以
https开头,包括端口 8850,并使用服务器名称(而不是 IP 地址)。例如,https://<tsm_hostname>:8850。如果没有指定服务器,则假定为https://<localhost | dnsname>:8850。--trust-admin-controller-cert
可选。
使用此标志来信任 TSM 控制器上的自签名证书。有关证书信任和 CLI 连接的详细信息,请参见 连接 TSM 客户端。
-u, --username <user>
在会话不是活动状态的情况下为必需,
-p或--password也为必需。指定用户帐户。如果未包括此选项,则使用您登录所使用的凭据运行该命令。