配置 Postgres SSL 以允许从客户端直接连接
将 Tableau Server 配置为使用 SSL 与 Postgres 存储库进行内部通信时,您还可以要求直接连接到存储库的 Tableau 客户端和外部 Postgres 客户端通过将内部 Postgres 实例提供的 SSL 证书与分发给 Tableau 或外部 Postgres 客户端的证书进行比较来验证 Tableau Postgres 存储库的身份。
直接连接包括使用 tableau 用户或 readonly 用户的直接连接。Tableau 客户端的示例包括 Tableau Desktop、Tableau Mobile、REST API、Web 浏览器。
通过运行以下命令,为存储库启用内部 SSL:
tsm security repository-ssl enabletsm pending-changes apply这将启用内部 SSL 支持,生成新服务器证书和密钥文件,并要求所有 Tableau 客户端使用 SSL 连接到存储库。有关其他 repository-ssl 命令和选项,请参见tsm security。
如果待定更改需要重新启动服务器,
pending-changes apply命令将显示一个提示,告知您将进行重新启动。即使服务器已停止,此提示也会显示,但在这种情况下不会重新启动。您可以使用--ignore-prompt选项隐藏提示,但这样做不会改变重新启动行为。如果更改不需要重新启动,则会在不提示的情况下应用更改。有关详细信息,请参见tsm pending-changes apply。(可选)如果已将客户端计算机配置为验证 Postgres SSL 连接,则必须将 Tableau Server 生成的证书导入运行 Tableau Desktop 的计算机。对于将直接连接到存储库的每台客户端计算机,执行以下操作:
将 server.crt 文件复制到客户端计算机。您可以在以下目录中找到此文件:
/var/opt/tableau/tableau_server/data/tabsvc/config/pgsql_<version_code>/security注意:不要将 server.key 复制到客户端计算机。此文件应位于服务器上。
将证书导入计算机的证书存储。
有关信息,请使用操作系统制造商提供的文档。
(可选)配置任何外部(非 Tableau)postgres 客户端(例如 PgAdmin 或 Dbeaver),以验证 Tableau Server postgres 存储库的身份。在客户端用来连接的 PostgreSQL JDBC 驱动程序中执行此操作,方法是将“sslmode”指令设置为“verify-ca”或“verify-full”。可用的选项可能会有所不同,具体取决于正在使用的 postgres 驱动程序的版本。有关详细信息,请参见有关 SSL 支持的驱动程序文档。