Linux 版 Tableau Server 說明

Tableau Server 管理控制器（又稱控制器）是用於管理 Tableau Server 叢集變更的管理元件。預設情況下，控制器在 Tableau Server 叢集的初始（第一個）節點上執行。儘管在單一 Tableau 叢集部署中執行多個控制器在技術上可行，但不建議這樣做。

控制器包括一個可以由各種客戶端管理的 API：即 TSM CLI、TSM Web Client、REST 客戶端（curl、postman）等。使用這些客戶端，Tableau Server 管理員可以為伺服器叢集進行設定變更。控制器可與 Zookeeper 一起管理和執行跨節點的設定變更。

附註：按照慣例，如果是使用 TLS 來保護 HTTPS 流量，則使用術語「SSL」。

預設情況下，客戶端連線使用自我簽署憑證的 SSL 加密，這是 Tableau Server 在設定時建立，並由控制器續訂。除加密外，控制器主機的身份（主機名或 IP）在 SSL 握手交握過程中根據憑證中提供的物件名稱進行驗證。但是，由於憑證是自我簽署，因此該憑證並不是絕對可信。

如果 CLI 連線至控制器，無法絕對信任憑證並不是一個巨大的安全風險，因為中間人攻擊通常需要惡意使用者存取私人網路中的 Tableau Server 叢集。如果惡意使用者可以在 CLI 場景中偽造控制器憑證，那麼惡意使用者就已經擁有了「王國的鑰匙」。

但是，如果管理員透過 TSM Web UI 從內部網路外連線至控制器，若未透過信任的憑證授權中心進行主機驗證會帶來更多的安全風險。

直到最近，在 Windows 機器上執行 TSM Web UI 的客戶還可以將 Tableau Server CA 憑證放在 Windows 信任的根存放區中。大多數瀏覽器會透過此設定驗證憑證是否信任。現在，Chrome 不再驗證（信任）放置在作業系統信任存放區中的自我簽署憑證。現在，Chrome（以及大多數主流瀏覽器）只信任鏈接回信任的第三方根 CA 的憑證

自訂 SSL TSM 憑證功能允許管理員使用鏈接回受信任的第三方根 CA 的身份憑證設定 TSM 控制器，從而縮小了信任差距。

有許多重要內容需要理解：

• 與 TSM Web UI 連線時驗證對 TSM 自訂 SSL 憑證的信任。
• 不嘗試對 TSM CLI 場景進行信任驗證。如前所述，對 CLI 場景的「中間人」攻擊不會帶來可信度風險。
• 該設定中可能包含憑證鍊。該鍊可以提供由中間 CA 簽名的所有憑證。可以隨時結束該鍊，且假頂該鍊中缺少的任何憑證均會在作業系統信任存放區中安裝。

必須使用 TSM CLI 為 TSM 設定（或更新）SSL 自訂憑證。

請參閱 tsm security custom-tsm-ssl enable。