tsm security

Verwenden Sie die tsm security-Befehle zum Konfigurieren des Tableau Server-Supports für externe (Gateway) SSL oder Repository (Postgres) SSL. Die Repository-SSL-Konfiguration bietet die Möglichkeit, SSL für Direktverbindungen von Tableau-Clients – einschließlich Tableau Desktop, Tableau Mobile und Webbrowsern – mit dem Repository zu aktivieren.

Voraussetzungen

Bevor Sie SSL konfigurieren können, benötigen Sie Zertifikate, die Sie dann auf dem Computer ablegen, der den Tableau Server-Gateway-Prozess ausführt. Zusätzliche Vorbereitung ist erforderlich, um Direktverbindungen von Clients zu aktivieren. Weitere Informationen finden Sie in den folgenden Artikeln:

Konfigurieren von SSL für den externen HTTP-Verkehr von und an Tableau Server

Konfigurieren von SSL für die interne Postgres-Kommunikation

 Informationen über gegenseitiges (zweiseitiges) SSL finden Sie unter Konfigurieren der gegenseitigen SSL-Authentifizierung und tsm authentication mutual-ssl-Befehle.

tsm security custom-cert add

Fügt ein benutzerdefiniertes CA-Zertifikat zu Tableau Server hinzu. Dieses Zertifikat wird optional zur Herstellung einer Vertrauensstellung für die TLS-Kommunikation zwischen einem SMTP-Server und Tableau Server verwendet.

Wenn bereits ein benutzerdefiniertes Zertifikat vorhanden ist, schlägt dieser Befehl fehl. Sie können das vorhandene benutzerdefinierte Zertifikat mit dem Befehl tsm security custom-cert delete entfernen.

Hinweis: Das Zertifikat, das Sie mit diesem Befehl hinzufügen, kann von anderen Tableau Server-Diensten für TLS-Verbindungen verwendet werden.

Als Teil Ihres Disaster Recovery-Plans wird empfohlen, eine Sicherung der Zertifikatsdatei an einem sicheren Speicherort außerhalb von Tableau Server aufzubewahren. Die Zertifikatsdatei, die Sie Tableau Server hinzufügen, wird vom Client-Dateidienst gespeichert und an andere Knoten verteilt. Die Datei wird jedoch nicht in einem wiederherstellbaren Format gespeichert. Siehe Tableau Server-Clientdateidienst.

Synopse

tsm security custom-cert add --cert-file <file.crt> [global options]

Optionen

-c, --cert-file <file.crt>

Erforderlich. Geben Sie den Namen einer Zertifikatsdatei in gültigem PEM- oder DER-Format an.

tsm security custom-cert delete

Entfernt das vorhandene benutzerdefinierte Zertifikat des Servers. Auf diese Weise können Sie ein neues benutzerdefiniertes Zertifikat hinzufügen.

Synopse

tsm security custom-cert delete[global options]

tsm security custom-cert list

Listen Sie Details des benutzerdefinierten Zertifikats auf.

Synopse

tsm security custom-cert list[global options]

tsm security external-ssl disable

Dieser Befehl entfernt die vorhandenen SSL-Konfigurationseinstellungen des Servers und stoppt die Verschlüsselung des Datenverkehrs zwischen externen Clients und dem Server.

Synopse

tsm security external-ssl disable [global options]

tsm security external-ssl enable

Dieser Befehl dient zum Aktivieren und Angeben der Zertifikat- und Schlüsseldateien zur Verwendung von SSL für die externe HTTP-Kommunikation.

Synopse

tsm security external-ssl enable --cert-file <file.crt> --key-file <file.key> [options] [global options]

Optionen

--cert-file <file.crt>

Erforderlich. Geben Sie den Namen eines gültigen PEM-kodierten x509-Zertifikats mit der Erweiterung ".crt" an.

--key-file <file.key>

Erforderlich. Geben Sie eine gültige RSA-Datei oder private DSA-Schlüsseldatei mit der Erweiterung .key gemäß der Konvention an.

--chain-file <chainfile.crt>

Geben Sie die Zertifikatkettendatei (.crt) an.

Für Tableau Desktop auf dem Mac ist eine Zertifikatskettendatei erforderlich. In einigen Fällen kann auch für Tableau Mobile eine Zertifikatskettendatei erforderlich sein.

Einige Zertifikatanbieter stellen zwei Zertifikate für Apache aus. Das zweite Zertifikat ist eine Kettendatei, die einer Verkettung aller Zertifikate entspricht, die die Zertifikatskette für das Serverzertifikat bilden.

Alle Zertifikate in der Datei müssen x509 PEM-codiert sein, und die Datei muss die Erweiterung ".crt" (nicht ".pem") haben.

--passphrase

Optional. Passphrase für die Zertifikatdatei. Die von Ihnen eingegebene Passphrase wird im Ruhezustand verschlüsselt.

Hinweis: Wenn Sie eine Zertifikatschlüsseldatei mit einer Passphrase erstellen, können Sie den SSL-Zertifikatschlüssel nicht für SAML erneut verwenden.

--protocols <list protocols>

Optional. Listet die Transport Layer Security (TLS)-Protokollversionen auf, die Sie zulassen oder verweigern möchten.

TLS ist eine verbesserte Version von SSL. Tableau Server verwendet TLS zum Authentifizieren und Verschlüsseln von Verbindungen. Zulässige Werte umfassen von Apache unterstützte Protokollversionen. Wenn Sie ein Protokoll verweigern möchten, fügen Sie vor der Protokollversion ein Minuszeichen (-) ein.

Standardeinstellung: "all, -SSLv2, -SSLv3"

Diese Standardeinstellung erlaubt Clients ausdrücklich nicht, die Protokolle SSL v2 oder SSL v3 beim Herstellen einer Verbindung mit Tableau Server zu verwenden. Darüber hinaus sollten Sie auch TLS v1 und TLS v1.1 verweigern.

Bevor Sie eine spezifische Version von TLS verweigern, stellen Sie sicher, dass die Browser, mit denen Ihre Benutzer eine Verbindung zu Tableau Server herstellen, TLS v1.2 unterstützen. Möglicherweise müssen Sie die Unterstützung für TLSv1.1 bis zur Aktualisierung der Browser beibehalten.

Wenn Sie TLS v1 oder v.1.1 nicht unterstützen müssen, verwenden Sie den folgenden Befehl, um TLS v1.2 (mit dem Wert all) zuzulassen und SSL v2, SSL v3, TLS v1 und TLS v1.1 ausdrücklich zu verweigern.

tsm security external-ssl enable --cert-file file.crt --key-file file.key --protocols "all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1"

tsm security external-ssl list

Dieser Befehl zeigt eine Liste von Einstellungen in Zusammenhang mit der Konfiguration einer externen Gateway SSL. Die Liste beinhaltet die Namen der verwendeten Zertifikatdateien, aber nicht deren Speicherort.

Synopse

tsm security external-ssl list [global options]

tsm security kms set-mode aws

Legen Sie den KMS-Modus auf "AWS" fest.

Sie benötigen die vollständige ARN-Zeichenkette von AWS KMS. Diese Zeichenkette befindet sich im Abschnitt "Allgemeine Konfiguration" auf den AWS KMS-Verwaltungsseiten. Die ARN wird in folgendem Format präsentiert: arn:aws:kms:<region>:<account>:key/<CMK_ID>, z. B., arn:aws:kms:us-west-2:867530990073:key/1abc23de-fg45-6hij-7k89-1l0mn1234567.

Weitere Informationen finden Sie unter AWS-Schlüsselverwaltungssystem (KMS).

Synopse

tsm security kms set-mode aws --key-arn "<arn>" --aws-region "<region>" [global options]

Optionen

--key-arn

Erforderlich. Die Option --key-arn übernimmt eine direkte Zeichenkettenkopie vom ARN im Abschnitt "Allgemeine Konfiguration" auf den AWS KMS-Verwaltungsseiten.

--aws-region

Erforderlich. Geben Sie eine Region an, wie sie in der Spalte "Region" in der Tabelle mit den Amazon-API-Gateways(Link wird in neuem Fenster geöffnet) angezeigt wird.

Beispiel

Wenn beispielsweise Ihre AWS-Schlüsselverwaltungsinstanz im Bereich us-west-2 läuft, ist Ihre Kontonummer 867530990073, und Ihre CMK-Lizenz 1abc23de-fg45-6hij-7k89-1l0mn1234567. Der Befehl lautet dann:

tsm security kms set-mode aws --aws-region "us-west-2" --key-arn "arn:aws:kms:us-west-2:867530990073:key/1abc23de-fg45-6hij-7k89-1l0mn1234567"

tsm security kms set-mode azure

Legen Sie den KMS-Modus auf Azure Key Vault fest.

Hinweis: Der KMS-Modus wird als "Azure Key Vault" angezeigt, wenn Sie tsm security kms status ausführen, Sie ihn aber als "azure" eingestellt haben.

Sie benötigen den Namen des Azure-Schlüsseltresors und den Namen des Azure-Schlüssels.

Weitere Informationen finden Sie unter Azure Key Vault.

Synopse

tsm security kms set-mode azure --key-name "<key_name>" --vault-name "<vault_name>" [global options]

Optionen

--key-name

Erforderlich. Der Name des asymmetrischen Schlüssels, der im Azure-Schlüsseltresor gespeichert ist.

--vault-name

Erforderlich. Name des Azure-Schlüsseltresors.

Beispiel

Wenn Ihr Azure-Schlüsseltresor beispielsweise tabsrv-keyvault heißt und Ihr Schlüssel ist tabsrv-sandbox-key01, dann würde der Befehl so lauten:

tsm security kms set-mode azure --key-name "tabsrv-sandbox-key01" --vault-name "tabsrv-keyvault"

tsm security kms set-mode local

Legen Sie den KMS-Modus auf "lokal" fest oder setzen Sie ihn dahin zurück. "Lokal" ist der KMS-Standardmodus. Weitere Informationen finden Sie unter Tableau Server-Schlüsselverwaltungssystem.

Synopse

tsm security kms set-mode local [global options]

tsm security kms status

Zeigen Sie den Status der KMS-Konfiguration an. Der zurückgegebene Status besteht aus:

  • Status: OK gibt an, dass Tableau oder der Controllerknoten auf das KMS zugreifen können, wenn eine Installation mit mehreren Knoten erfolgt.
  • Modus: Lokal, AWS oder Azure Key Vault. Gibt an, welcher KMS-Modus verwendet wird.
  • Master-Schlüssel verschlüsseln und entschlüsseln:

    KMS speichert eine Sammlung von Master-Extrakt-Schlüsseln (MEKs). Jedes MEK hat:

    • Eine ID, z. B. 8ddd70df-be67-4dbf-9c35-1f0aa2421521
    • Entweder den Status "Schlüssel verschlüsseln oder entschlüsseln" oder "Schlüssel nur entschlüsseln". Wenn ein Schlüssel "verschlüsselt oder entschlüsselt" ist, verschlüsselt Tableau Server neue Daten damit. Andernfalls wird der Schlüssel nur für die Entschlüsselung verwendet
    • Ein Erstellungszeitstempel, z. B. "Erstellt am: 2019-05-29T23:46:54:54Z."
    • Erster Übergang zum Ver- und Entschlüsseln: Ein Zeitstempel, der angibt, wann der Schlüssel zu einem Ver- oder Entschlüsselungsschlüssel wurde.
    • Übergang zur reinen Entschlüsselung: Ein Zeitstempel, der angibt, wann der Schlüssel zur reinen Entschlüsselung übergegangen ist.

Weitere zurückgegebene Werte hängen vom KMS-Modus ab.

Wenn der KMS-Modus AWS ist, wird Folgendes zurückgegeben:

  • Die ARN (ID) des Kundenhauptschlüssels (CMK).
  • Die Region, in der sich der CMK befindet.
  • Die ID des verwendeten Root Master Key (RMK). Der RMK ist ein Schlüssel, der vom CMK verschlüsselt wird. Tableau Server entschlüsselt das CMK, indem er AWS KMS anruft. Mit dem RMK wird dann der Master-Extrakt-Schlüssel (MEK) ver- und entschlüsselt. Der RMK kann sich ändern, aber es wird immer nur jeweils einen geben.

Wenn der KMS-Modus Azure Key Vault ist, wird Folgendes zurückgegeben:

  • Tresorname: Der Name des Azure-Schlüsseltresors.
  • Azure Key Vault-Schlüsselname: Der Name des Schlüssels im Tresor.

Synopse

tsm security kms status [global options]

tsm security maestro-rserve-ssl disable

Deaktivieren Sie die Rserve-Verbindung.

Weitere Informationen finden Sie unter Verwenden Sie R(Rserve)-Skripte in Ihrem Schema.

tsm security maestro-rserve-ssl enable

Konfigurieren Sie eine Verbindung zwischen einem Rserve-Server und der Tableau Server-Version 2019.3 oder höher.

Weitere Informationen finden Sie unter Verwenden Sie R(Rserve)-Skripte in Ihrem Schema.

Synopse

tsm security maestro-rserve-ssl enable --connection-type <maestro-rserve-secure | maestro-rserve> --rserve-host <Rserve IP address or host name> --rserve-port <Rserve port> --rserve-username <Rserve username> --rserve-password <Rserve password> --rserve-connect-timeout-ms <RServe connect timeout>

Optionen

--connection-type

Wählen Sie maestro-rserve-secure aus, um eine sichere Verbindung, oder maestro-rserve, um eine ungesicherte Verbindung zu aktivieren. Wenn Sie maestro-rserve-secure auswählen, geben Sie den Pfad der Zertifikatdatei in der Befehlszeile an.

--rserve-host

Host

--rserve-port

Port

--rserve-username

Benutzername

--rserve-password

Kennwort

--rserve-connect-timeout-ms

Die Zeitüberschreitung für die Verbindung in Millisekunden. Beispielsweise --rserve-connect-timeout-ms 900000.

tsm security maestro-tabpy-ssl disable

Deaktivieren Sie die TabPy-Verbindung.

Weitere Informationen finden Sie unter Python-Skripte im Schema verwenden.

tsm security maestro-tabpy-ssl enable

Konfigurieren Sie eine Verbindung zwischen einem TabPy-Server und der Tableau Server-Version 2019.3 oder höher.

Weitere Informationen finden Sie unter Python-Skripte im Schema verwenden.

Synopse

tsm security maestro-tabpy-ssl enable --connection-type <maestro-tabpy-secure | maestro-tabpy> --tabpy-host <TabPy IP address or host name> --tabpy-port <TabPy port> --tabpy-username <TabPy username> --tabpy-password <TabPy password> --tabpy-connect-timeout-ms <TabPy connect timeout>

Optionen

--connection-type

Wählen Sie maestro-tabpy-secure aus, um eine sichere Verbindung, oder maestro-tabpy, um eine ungesicherte Verbindung zu aktivieren. Wenn Sie maestro-tabpy-secure auswählen, geben Sie die Zertifikatdatei in der Befehlszeile an: -cf<Pfad der Zertifikatdatei>.

--tabpy-host

Host

--tabpy-port

Port

--tabpy-username

Benutzername

--tabpy-password

Kennwort

--tabpy-connect-timeout-ms

Die Zeitüberschreitung für die Verbindung in Millisekunden. Beispielsweise --tabpy-connect-timeout-ms 900000.

tsm security regenerate-internal-tokens

Mithilfe dieses Befehls werden die folgenden Vorgänge durchgeführt:

  1. Beendet Tableau Server, wenn es ausgeführt wird.

  2. Generierung neuer interner SSL-Zertifikate für das Postgres-Repository des Suchservers.

  3. Generierung neuer Kennwörter für alle intern verwalteten Kennwörter.

  4. Aktualisierung aller Postgres-Repository-Kennwörter.

  5. Generierung eines neuen Verschlüsselungsschlüssels für die Ressourcenschlüsselverwaltung und Verschlüsselung der Ressourcenschlüsseldaten mit dem neuen Schlüssel.

  6. Generierung eines neuen Verschlüsselungsschlüssel für Konfigurationsgeheimnisse (Hauptschlüssel) und Verschlüsselung der Konfiguration damit.

  7. Erneute Konfiguration und Aktualisierung von Tableau Server mit all diesen Geheimnissen. In einer verteilten Umgebung werden mithilfe dieses Befehls zudem die neue Konfiguration und die Updates auf allen Knoten im Cluster verteilt.

  8. Erneute Generierung eines neuen Hauptschlüssel, Hinzufügen dieses Schlüssels zur Master-Keystore-Datei und anschließende Erstellung neuer Sicherheitstoken für die interne Verwendung.

  9. Startet Tableau Server.

Wenn Sie Ihrem Cluster einen Knoten hinzufügen möchten, nachdem Sie diesen Befehl ausgeführt haben, müssen Sie eine neue Knotenkonfigurationsdatei zum Aktualisieren der Token, Schlüssel und Geheimnisse generieren, die durch diesen Befehl generiert werden. Siehe Installieren und Konfigurieren von weiteren Knoten.

Weitere Informationen zu internen Passwörtern finden Sie unter Verwalten von Servergeheimnissen.

Synopse

tsm security regenerate-internal-tokens [options] [global options]

Optionen

--request-timeout <Zeitüberschreitung in Sekunden>

Optional.

Wartezeit, bis der Befehl abgeschlossen ist. Der Standardwert beträgt 1800 (30 Minuten).

tsm security repository-ssl disable

Hiermit deaktivieren Sie die Verschlüsselung von Datenverkehr zwischen dem Repository und anderen Serverkomponenten sowie die Unterstützung für Direktverbindungen von Tableau-Clients.

Synopse

tsm security repository-ssl disable [global-options]

tsm security repository-ssl enable

Dieser Befehl aktiviert SSL und erzeugt die .crt- und .key-Dateien des Servers, die für den verschlüsselten Datenverkehr zwischen dem Postgres-Repository und anderen Serverkomponenten verwendet werden. Bei Aktivierung dieser Option haben Sie auch die Möglichkeit, SSL für Direktverbindungen von Tableau-Clients zum Server zu aktivieren.

Synopse

tsm security repository-ssl enable [options] [global options]

Optionen

-i, --internal-only

Optional. Wenn diese Option auf --internal-only gesetzt ist, verwendet Tableau Server SSL für Verbindungen zwischen dem Repository und anderen Serverkomponenten. Für Direktverbindungen von tableau- oder readonly-Benutzern wird SSL unterstützt, ist jedoch nicht erforderlich.

Ist diese Option nicht gesetzt, ist SSL für den Datenverkehr zwischen dem Repository und anderen Serverkomponenten in Tableau Server erforderlich und wird auch für Direktverbindungen von Tableau-Clients (für Verbindungen von tableau- oder readonly-Benutzern) verlangt.

Bei Auswahl dieser Option müssen Sie auch die unter Konfigurieren von Postgres-SSL zum Erlauben direkter Verbindungen von Clients beschriebenen Schritte abschließen.

tsm security repository-ssl get-certificate-file

Damit erhalten Sie die öffentliche Zertifikatdatei, die für die SSL-Kommunikation mit dem Tableau-Repository verwendet wird. SSL muss vor dem Abruf eines Zertifikats für die Repository-Kommunikation aktiviert werden. Die Zertifikatdatei wird automatisch an interne Clients des Repositorys im Tableau Server-Cluster verteilt. Zum Aktivieren von Remote-Clients für die Verbindung zum Repository über SSL müssen Sie die öffentliche Zertifikatdatei auf jeden Client kopieren.

Synopse

tsm security repository-ssl get-certificate-file [global-options]

Optionen

-f, --file

Erforderlich.

Der vollständige Pfad und Dateiname (mit .cert-Erweiterung) zum Speichern der Zertifikatdatei. Wenn eine Datei mit dem gleichen Namen vorhanden ist, wird diese überschrieben.

tsm security repository-ssl list

Gibt die vorhandene SSL-Konfiguration für das Repository (Postgres) zurück.

Synopse

tsm security repository-ssl list [global-options]

Globale Optionen

-h, --help

Optional.

Hilfe zum Befehl anzeigen.

-p, --password <Kennwort>

Zusammen mit -u oder --username erforderlich, wenn keine Sitzung aktiv ist.

Geben Sie das Kennwort für den in -u oder --username angegebenen Benutzer an.

Wenn das Kennwort Leerzeichen oder Sonderzeichen enthält, schließen Sie es in Anführungszeichen ein:

--password "my password"

-s, --server https://<hostname>:8850

Optional.

Adresse, die für Tableau Services Manager verwendet wird. Die URL muss mit https beginnen, Port 8850 enthalten und den Servernamen nicht als IP-Adresse verwenden. Beispielsweise https://<tsm_hostname>:8850. Wenn kein Server angegeben wird, dann wird https://<localhost | dnsname>:8850 verwendet.

--trust-admin-controller-cert

Optional.

Verwenden Sie dieses Flag, um dem selbstsignierten Zertifikat auf dem TSM-Controller zu vertrauen. Weitere Informationen zu vertrauenswürdigen Zertifikaten und CLI-Verbindungen finden Sie unter Verbinden von TSM-Clients.

-u, --username <Benutzer>

Zusammen mit -p oder --password erforderlich, wenn keine Sitzung aktiv ist.

Geben Sie ein Benutzerkonto an. Wenn Sie diese Option nicht einschließen, wird der Befehl mit den Anmeldeinformationen ausgeführt, mit denen Sie sich angemeldet haben.

Vielen Dank für Ihr Feedback!