設定到 LDAP 外部身分存放區的加密通道

設定為連線到外部 LDAP 身分存放區的 Tableau Server 必須查詢 LDAP 目錄,並建立工作階段。建立工作階段的流程稱為繫結。有多種繫結方式。Tableau Server 支援兩種繫結到 LDAP 目錄的方法:

  • 簡單繫結:透過使用使用者名稱和密碼進行驗證來建立工作階段。預設情況下,Tableau Server 會在連線到 Windows Active Directory 時嘗試使用 StartTLS 加密工作階段。若 Tableau Server 具有有效的 TLS 憑證,則工作階段將被加密。否則,不會對具有簡單繫結的 LDAP 進行加密。若使用簡單繫結設定 LDAP,我們強烈建議您透過 SSL/TLS 啟用 LDAP。

  • GSSAPIbind:GSSAPI 使用 Kerberos 進行驗證。已設定 keytab 檔案時,驗證在 GSSAPI 繫結期間是安全的。但是,到 LDAP 伺服器的後續流量未加密。我們建議透過 SSL/TLS 設定 LDAP。重要資訊:與 Active Directory 的 GSSAPI 繫結不支援 StartTLS。

    若在已聯結到 Active Directory 網域的電腦上執行 Linux 版 Tableau Server,則可以設定 GSSAPI。請參閱LDAP 與 GSSAPI (Kerberos) 繫結

本主題會介紹如何對 Tableau Server 和 LDAP 目錄伺服器之間的通訊加密簡單 LDAP 繫結的通道。

憑證要求

  • 必須具有可用於加密的有效 PEM 編碼 x509 SSL/TLS 憑證。憑證檔案的副檔名必須為 .crt。

  • 不支援自我簽署憑證。

  • 安裝的憑證必須在用於 SSL/TLS 的金鑰使用欄位中包括 Key Encipherment。Tableau Server 會僅使用此憑證加密到 LDAP 伺服器的通道,但不會驗證到期、信任、CRL 和其他屬性。

  • 若在分散式部署中執行 Tableau Server,則必須將 SSL 憑證手動複製到叢集中的每個節點。僅將憑證複製到已設定 Tableau Server 應用程式伺服器程序所在的節點即可。與叢集環境中其他共用檔案不同的是,Client File Service 不會自動散佈用於 LDAP 的 SSL 憑證。

  • 若使用的是 PKI 或非協力廠商憑證,請將 CA 根憑證上傳到 Java 信任存放區。

將憑證匯入 Tableau Keystore

若電腦上還沒有針對 LDAP 伺服器設定的憑證,則必須取得適用於 LDAP 伺服器的 SSL 憑證,並將其匯入 Tableau 系統 Keystore。

使用 [keytool] Java 工具來匯入憑證。預設安裝中,此工具會隨 Tableau Server 一起安裝至以下位置:

/opt/tableau/tableau_server/packages/repository.<installer version>/jre/bin/keytool

以下命令匯入憑證:

sudo "<installation_directory>/packages/repository*/jre/bin/keytool -importcert -file "<cert_directory/<cert_name.crt>" -alias "<cert_alias>" -keystore /etc/opt/tableau/tableau_server/tableauservicesmanagerca.jks -storepass changeit -noprompt

Java Keystore 的密碼為 changeit。(請勿變更 Java Keystore 的密碼)。

加密方法

Tableau Server 2021.1 及更高版本支援兩種加密簡單繫結 LDAP 通道的方法:StartTLS 和 LDAPS。

  • StartTLS:這是用於與 Tableau Server 2021.2 中的 Active Directory 進行通訊的預設設定。從 Tableau Server 2021.2 開始,會對與 Active Directory 的簡單繫結 LDAP 連線強制執行 TLS。此預設 TLS 設定對於新安裝和升級情境,均會強制執行此預設 TLS 設定。

    附註:僅與 Active Directory 和簡單繫結通訊時,Linux 版 Tableau Server 才支援 StartTLS。與其他 LDAP 伺服器類型或 GSSAPI 的通訊不支援 StartTLS。

    StartTLS 方法的工作原理是與 Active Directory 伺服器建立不安全的連線。在用戶端與伺服器進行交涉後,該連線會升級為 TLS 加密連線。作為預設設定,此情境僅需要 Tableau Server 上具有有效的 TLS 憑證。不需要其他設定。

  • LDAPS:安全 LDAP 或 LDAPS 是需要更多設定的標準加密通道。具體而言,除了 Tableau Server 上需要具有 TLS 憑證之外,還必須為目標 LDAP 伺服器設定主機名稱和安全 LDAP 連接埠。

    任何 LDAP 伺服器(包括 Active Directory 伺服器)均支援 LDAPS。

為簡單繫結設定加密通道

本節會介紹如何設定 Tableau Server,以使用 LDAP 簡單繫結的加密通道。

何時設定

您必須在初始化 Tableau Server 之前,或將其作為設定初始節點設定中「使用 TSM CLI」索引標籤中提到的設定初始節點的一部分之前,將 Tableau Server 設定為使用 LDAP 簡單繫結的加密通道。

Tableau Server 的全新安裝

若組織使用的是 Active Directory 以外的 LDAP 目錄,則無法使用 TSM GUI 安裝程式在 Tableau Server 安裝中設定身分存放區。相反,必須使用 JSON 實體檔案來設定 LDAP 身分存放區。請參閱identityStore 實體

在設定 identityStore 實體之前,請按照本主題前面所述,將有效的 SSL/TLS 憑證匯入到 Tableau Keystore 中。

設定 LDAPS 需要在 identityStore JSON 檔案中設定主機名稱和 sslPort 選項。

Active Directory 環境中的全新安裝

若將 Active Directory 用作外部身分存放區,則必須執行 Tableau Server 安裝程式的 GUI 版本。與安裝 Tableau Server 的 CLI 流程不同,安裝程式的 GUI 版本包含用於簡化和驗證 Active Directory 設定的邏輯。

此處顯示的為可在其中設定 Active Directory 的 Tableau Server 安裝程式 GUI。

若要在 Linux 上安裝 Tableau Server 的新執行個體,並且已在 Tableau Keystore 中安裝有效的 SSL/TLS 憑證,建議將預設選項設定為 StartTLS。

若要設定 LDAPS,請在選取 LDAPS 選項之前輸入 LDAP 伺服器的主機名稱和安全連接埠(通常為 636)。

安裝後,可以登入 TSM Web UI,並按一下設定索引標籤、使用者身分和存取,然後按一下身分存放區,以變更這些設定。

升級情境

若要升級到 Tableau Server 的 2021.2 版本(或更高版本),並將 Active Directory 用作外部身分存放區,則會對 LDAP 簡單繫結連線強制使用加密通道。若未設定加密通道,則升級將失敗。

要成功升級到版本 2021.2 或更高版本,必須滿足以下條件之一:

  • 現有的 Tableau Server 安裝已設定 LDAPS,並且 Tableau Keystore 中包含憑證。
  • 升級之前,Tableau Keystore 中存在有效的 SSL/TLS 憑證。在這種情況下,預設的 StartTLS 設定將啟用加密通道。
  • 加密 LDAP 通道已停用,如下節所述。

停用預設的加密 LDAP 通道

若要在 Linux 上執行 Tableau Server,並連線到 Active Directory,則可以停用加密通道要求。

停用後,用於與 Active Directory 建立繫結工作階段的使用者認證會在 Tableau Server 和 Active Directory 伺服器之間以純文字方式進行通訊。

停用新安裝

若要將 Active Directory 用作身分存放區,則必須使用 TSM GUI 設定 Active Directory 連線。請參閱設定初始節點設定

執行安裝程式時,選取 LDAP(未加密通道)

升級前停用

若要從早期版本升級到 Tableau Server 2021.2(或更高版本),請在升級之前先在 Tableau Server 的早期版本上執行以下命令:

tsm configuration set -k wgserver.domain.ldap.starttls.enabled -v false --force-keys
tsm pending-changes apply

要驗證是否已設定金鑰,請執行以下命令:

tsm configuration get -k wgserver.domain.ldap.starttls.enabled

命令應傳回 false

錯誤訊息

可能會顯示或記錄以下錯誤訊息。如果看到這些錯誤,請執行以下操作:

  • 請驗證憑證是否有效,以及是否如本主題前面所述,將其匯入到 Tableau Keystore 中。
  • (僅 LDAPS) - 請驗證主機名稱和連接埠名稱是否正確。

在安裝程式 GUI 中

若在執行安裝程式或升級 GUI 時將 LDAPS 或 StartTLS 設定錯誤,會顯示以下錯誤。

TLS handshake failed. Tableau Server and the Active Directory server could not negotiate a compatible level of security.

Vizportal 記錄檔

若使用 CLI 設定 LDAPS 或 StartTLS,則不會顯示以下錯誤訊息。相反,錯誤會記錄在位於 /var/opt/tableau/tableau_server/data/tabsvc/logs/vizportal 的 Vizportal 記錄檔中。

Authentication with LDAP server failed. The provided credentials or configuration are either incorrect or do not have the necessary permissions to bind.
感謝您的意見反應!已成功提交您的意見回饋。謝謝!