mutualSSLSettings 实体
在配置相互 SSL 之前,请查看针对与来往 Tableau Server 的外部 HTTP 流量配置 SSL。
mutualSSLSettings
实体将合并 SSL 和相互 SSL 配置。相互 SSL 要求已启用并正确配置外部 SSL。
TSM 实体使用 JSON 和键值对。使用下面的配置文件模板创建一个 .json 文件。为适用于您的环境的相应键指定值,然后使用以下命令将 .json 文件传递到 Tableau Server:
tsm settings import -f <path-to-file.json>
tsm pending-changes apply
如果待定更改需要重新启动服务器,pending-changes apply
命令将显示一个提示,告知您将进行重新启动。即使服务器已停止,此提示也会显示,但在这种情况下不会重新启动。您可以使用 --ignore-prompt
选项隐藏提示,但这样做不会改变重新启动行为。如果更改不需要重新启动,则会在不提示的情况下应用更改。有关详细信息,请参见tsm pending-changes apply。
配置模板
使用此模板配置相互 SSL 设置。
重要信息:所有实体选项均区分大小写。
有关配置文件、实体和密钥的更多说明,请参见配置文件示例。
{ "configEntities": { "mutualSSLSettings": { "_type": "mutualSSLSettingsType", "sslEnabled": true, "proxyLogin": false, "clientCertRequired": true, "caCertFile": "required", "keyFileName": "required", "keyPassphrase": "", "chainFile": "", "revocationFile": "", "redirect": false, "fallbackToPassword": true, "protocols": "", "cipherSuite": "", "forceHttpsForPublicEmbed": false } } }
配置文件参考
- sslEnabled
启用 SSL。这是启用相互 SSL 的先决条件。
clientCertRequired (MutualSSL)
设置为 true 以启用相互 SSL 身份验证。设置为 false 以禁用。
- caCertFile (MutualSSL)
必需。
针对双向 SSL 指定 CA 颁发的证书文件。文件路径必须可被 Tableau Server 读取。
certFileName
指定文件,该文件包含构成服务器证书链的一连串 PEM 编码 CA 证书。
或者,为了方便起见而将 CA 证书直接附加到服务器证书时,引用的文件可以与 caCertFile 相同。
keyFileName
如果密钥未与证书合并,请使用此配置密钥指向密钥文件。如果您具有 RSA 和 DSA 私钥,则可以并行配置两者(例如,用于也允许使用 DSA 密码)。
keyPassphrase
可选。证书文件的密码。您输入的密码将在空闲时加密。
注意:如果创建包含密码的证书密钥文件,则无法为 SAML 重用 SSL 证书密钥。
revocationFile
指定 SSL CA 证书吊销列表 (.crl) 文件的文件路径。
重定向
默认值:true。指定 Tableau Server 是否应将 http 请求作为 https 请求重定向到适当的端点。
clientCertMapping (MutualSSL)
指定用于从证书中检索用户名的方法。
接受的值:
ldap
、upn
、cn
对于使用本地身份验证的服务器,默认设置为
upn
(用户主体名称)。如果将 Tableau Server 身份验证配置为使用 Active Directory (AD),则默认值为
ldap
(轻型目录访问协议)。这告诉服务器转到 AD 来验证用户,并忽略证书中的名称。
您可以针对任一身份验证类型设置
cn
,以使用证书中的主题 DN 中的 CN。有关详细信息,请参见在相互身份验证过程中将客户端证书映射到用户。
fallbackToPassword (MutualSSL)
设置为 true,以在相互 SSL 身份验证失败的情况下,可以让用户选择通过其用户名和密码来登录 Tableau Server。设置为 false 可以禁止此后备选项。
协议
列出想要允许或拒绝的传输层安全性 (TLS) 协议版本。
默认值:
"all -SSLv2 -SSLv3"
但是,我们建议您使用以下设置:
"all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1"
有关详细信息,请参见tsm security external-ssl enable。有关一般信息,请参见 Apache 联机文档。
cipherSuite
列出密码以允许或不允许使用 SSL。
默认值:
"HIGH:MEDIUM:!aNULL:!MD5:!RC4:!3DES:!CAMELLIA:!IDEA:!SEED"
请参见 OpenSSL 密码(链接在新窗口中打开)页面,了解密码列表格式。更改此选项时要小心。默认值不允许不再被视为足够安全的密码。
proxyLogin
默认值:false。指明 Tableau Server 仅在登录时使用 SSL 代理。它控制服务器针对登录 API 向 Tableau Desktop 进行报告的协议。
forceHTTPForPublicEmbed
默认值:false。强制嵌入视图的代码使用 SSL。