tsm security

Verwenden Sie die tsm security-Befehle zum Konfigurieren des Tableau Server-Supports für externe (Gateway) SSL oder Repository (Postgres) SSL. Die Repository-SSL-Konfiguration bietet die Möglichkeit, SSL für Direktverbindungen von Tableau-Clients – einschließlich Tableau Desktop, Tableau Mobile und Webbrowsern – mit dem Repository zu aktivieren.

Voraussetzungen

Bevor Sie SSL konfigurieren können, benötigen Sie Zertifikate, die Sie dann auf dem Computer ablegen, der den Tableau Server-Gateway-Prozess ausführt. Zusätzliche Vorbereitung ist erforderlich, um Direktverbindungen von Clients zu aktivieren. Weitere Informationen finden Sie in den folgenden Artikeln:

Konfigurieren von SSL für den externen HTTP-Verkehr von und an Tableau Server

Konfigurieren von SSL für die interne Postgres-Kommunikation

 Informationen über gegenseitiges (zweiseitiges) SSL finden Sie unter Konfigurieren der gegenseitigen SSL-Authentifizierung und tsm authentication mutual-ssl-Befehle.

tsm security custom-cert add

Fügt ein benutzerdefiniertes CA-Zertifikat zu Tableau Server hinzu. Dieses Zertifikat wird optional zur Herstellung einer Vertrauensstellung für die TLS-Kommunikation zwischen einem SMTP-Server und Tableau Server verwendet.

Wenn bereits ein benutzerdefiniertes Zertifikat vorhanden ist, schlägt dieser Befehl fehl. Sie können das vorhandene benutzerdefinierte Zertifikat mit dem Befehl tsm security custom-cert delete entfernen.

Hinweis: Das Zertifikat, das Sie mit diesem Befehl hinzufügen, kann von anderen Tableau Server-Diensten für TLS-Verbindungen verwendet werden.

Synopse

tsm security custom-cert add --cert-file <file.crt> [global options]

Optionen

-c, --cert-file <file.crt>

Erforderlich. Geben Sie den Namen einer Zertifikatsdatei in gültigem PEM- oder DER-Format an.

tsm security custom-cert delete

Entfernt das vorhandene benutzerdefinierte Zertifikat des Servers. Auf diese Weise können Sie ein neues benutzerdefiniertes Zertifikat hinzufügen.

Synopse

tsm security custom-cert delete[global options]

tsm security custom-cert list

Listen Sie Details des benutzerdefinierten Zertifikats auf.

Synopse

tsm security custom-cert list[global options]

tsm security external-ssl disable

Dieser Befehl entfernt die vorhandenen SSL-Konfigurationseinstellungen des Servers und stoppt die Verschlüsselung des Datenverkehrs zwischen externen Clients und dem Server.

Synopse

tsm security external-ssl disable [global options]

tsm security external-ssl enable

Dieser Befehl dient zum Aktivieren und Angeben der Zertifikat- und Schlüsseldateien zur Verwendung von SSL für die externe HTTP-Kommunikation.

Synopse

tsm security external-ssl enable --cert-file <file.crt> --key-file <file.key> [options] [global options]

Optionen

--cert-file <file.crt>

Erforderlich. Geben Sie den Namen eines gültigen PEM-kodierten x509-Zertifikats mit der Erweiterung ".crt" an.

--key-file <file.key>

Erforderlich. Geben Sie eine gültige RSA-Datei oder private DSA-Schlüsseldatei mit der Erweiterung .key gemäß der Konvention an.

--chain-file <chainfile.crt>

Geben Sie die Zertifikatkettendatei (.crt) an.

Für Tableau Desktop auf dem Mac ist eine Zertifikatskettendatei erforderlich. In einigen Fällen kann auch für Tableau Mobile eine Zertifikatskettendatei erforderlich sein.

Einige Zertifikatanbieter stellen zwei Zertifikate für Apache aus. Das zweite Zertifikat ist eine Kettendatei, die einer Verkettung aller Zertifikate entspricht, die die Zertifikatskette für das Serverzertifikat bilden.

Alle Zertifikate in der Datei müssen x509 PEM-codiert sein, und die Datei muss die Erweiterung ".crt" (nicht ".pem") haben.

--passphrase

Optional. Passphrase für die Zertifikatdatei. Die von Ihnen eingegebene Passphrase wird im Ruhezustand verschlüsselt.

Hinweis: Wenn Sie eine Zertifikatschlüsseldatei mit einer Passphrase erstellen, können Sie den SSL-Zertifikatschlüssel nicht für SAML erneut verwenden.

--protocols <list protocols>

Optional. Listet die Transport Layer Security (TLS)-Protokollversionen auf, die Sie zulassen oder verweigern möchten.

TLS ist eine verbesserte Version von SSL. Tableau Server verwendet TLS zum Authentifizieren und Verschlüsseln von Verbindungen. Zulässige Werte umfassen von Apache unterstützte Protokollversionen. Wenn Sie ein Protokoll verweigern möchten, fügen Sie vor der Protokollversion ein Minuszeichen (-) ein.

Standardeinstellung: "all, -SSLv2, -SSLv3"

Diese Standardeinstellung erlaubt Clients ausdrücklich nicht, die Protokolle SSL v2 oder SSL v3 beim Herstellen einer Verbindung mit Tableau Server zu verwenden. Darüber hinaus sollten Sie auch TLS v1 und TLS v1.1 verweigern.

Bevor Sie eine spezifische Version von TLS verweigern, stellen Sie sicher, dass die Browser, mit denen Ihre Benutzer eine Verbindung zu Tableau Server herstellen, TLS v1.2 unterstützen. Möglicherweise müssen Sie die Unterstützung für TLSv1.1 bis zur Aktualisierung der Browser beibehalten.

Wenn Sie TLS v1 oder v.1.1 nicht unterstützen müssen, verwenden Sie den folgenden Befehl, um TLS v1.2 (mit dem Wert all) zuzulassen und SSL v2, SSL v3, TLS v1 und TLS v1.1 ausdrücklich zu verweigern.

tsm security external-ssl enable --cert-file file.crt --key-file file.key --protocols "all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1"

tsm security external-ssl list

Dieser Befehl zeigt eine Liste von Einstellungen in Zusammenhang mit der Konfiguration einer externen Gateway SSL. Die Liste beinhaltet die Namen der verwendeten Zertifikatdateien, aber nicht deren Speicherort.

Synopse

tsm security external-ssl list [global options]

tsm security regenerate-internal-tokens

Mithilfe dieses Befehls werden die folgenden Vorgänge durchgeführt:

  1. Generierung neuer interner SSL-Zertifikate für das Postgres-Repository des Suchservers.

  2. Generierung neuer Kennwörter für alle intern verwalteten Kennwörter.

  3. Aktualisierung aller Postgres-Repository-Kennwörter.

  4. Generierung eines neuen Verschlüsselungsschlüssels für die Ressourcenschlüsselverwaltung und Verschlüsselung der Ressourcenschlüsseldaten mit dem neuen Schlüssel.

  5. Generierung eines neuen Verschlüsselungsschlüssel für Konfigurationsgeheimnisse (Hauptschlüssel) und Verschlüsselung der Konfiguration damit.

  6. Erneute Konfiguration und Aktualisierung von Tableau Server mit all diesen Geheimnissen. In einer verteilten Umgebung werden mithilfe dieses Befehls zudem die neue Konfiguration und die Updates auf allen Knoten im Cluster verteilt.

  7. Hält den Server an.

  8. Erneute Generierung eines neuen Hauptschlüssel, Hinzufügen dieses Schlüssels zur Master-Keystore-Datei und anschließende Erstellung neuer Sicherheitstoken für die interne Verwendung.

  9. Startet den Server.

Wenn Sie Ihrem Cluster einen Knoten hinzufügen möchten, nachdem Sie diesen Befehl ausgeführt haben, müssen Sie eine neue Knotenkonfigurationsdatei zum Aktualisieren der Token, Schlüssel und Geheimnisse generieren, die durch diesen Befehl generiert werden. Siehe Installieren und Konfigurieren von weiteren Knoten.

Synopse

tsm security regenerate-internal-tokens [options] [global options]

Optionen

--request-timeout <Zeitüberschreitung in Sekunden>

Optional.

Wartezeit, bis der Befehl abgeschlossen ist. Der Standardwert beträgt 1800 (30 Minuten).

tsm security repository-ssl disable

Hiermit deaktivieren Sie die Verschlüsselung von Datenverkehr zwischen dem Repository und anderen Serverkomponenten sowie die Unterstützung für Direktverbindungen von Tableau-Clients.

Synopse

tsm security repository-ssl disable [global-options]

tsm security repository-ssl enable

Dieser Befehl aktiviert SSL und erzeugt die .crt- und .key-Dateien des Servers, die für den verschlüsselten Datenverkehr zwischen dem Postgres-Repository und anderen Serverkomponenten verwendet werden. Bei Aktivierung dieser Option haben Sie auch die Möglichkeit, SSL für Direktverbindungen von Tableau-Clients zum Server zu aktivieren.

Synopse

tsm security repository-ssl enable [options] [global options]

Optionen

-i, --internal-only

Optional. Wenn diese Option auf --internal-only gesetzt ist, verwendet Tableau Server SSL für Verbindungen zwischen dem Repository und anderen Serverkomponenten. Für Direktverbindungen von tableau- oder readonly-Benutzern wird SSL unterstützt, ist jedoch nicht erforderlich.

Ist diese Option nicht gesetzt, ist SSL für den Datenverkehr zwischen dem Repository und anderen Serverkomponenten in Tableau Server erforderlich und wird auch für Direktverbindungen von Tableau-Clients (für Verbindungen von tableau- oder readonly-Benutzern) verlangt.

Bei Auswahl dieser Option müssen Sie auch die unter Konfigurieren von Postgres-SSL zum Erlauben direkter Verbindungen von Clients beschriebenen Schritte abschließen.

tsm security repository-ssl get-certificate-file

Damit erhalten Sie die öffentliche Zertifikatdatei, die für die SSL-Kommunikation mit dem Tableau-Repository verwendet wird. SSL muss vor dem Abruf eines Zertifikats für die Repository-Kommunikation aktiviert werden. Die Zertifikatdatei wird automatisch an interne Clients des Repositorys im Tableau Server-Cluster verteilt. Zum Aktivieren von Remote-Clients für die Verbindung zum Repository über SSL müssen Sie die öffentliche Zertifikatdatei auf jeden Client kopieren.

Synopse

tsm security repository-ssl get-certificate-file [global-options]

Optionen

-f, --file

Erforderlich.

Der vollständige Pfad und Dateiname (mit .cert-Erweiterung) zum Speichern der Zertifikatdatei. Wenn eine Datei mit dem gleichen Namen vorhanden ist, wird diese überschrieben.

tsm security repository-ssl list

Gibt die vorhandene SSL-Konfiguration für das Repository (Postgres) zurück.

Synopse

tsm security repository-ssl list [global-options]

tsm security vizql-extsvc-ssl disable

Deaktiviert die Verbindung zur externen Dienstverbindung für SCRIPT-Funktionen.

Synopse

tsm security vizql-extsvc-ssl disable [global options]

tsm security vizql-extsvc-ssl enable

Aktiviert und konfiguriert die Verbindung zur externen Dienstverbindung für SCRIPT-Funktionen. Tableau Server unterstützt SSL für Rserve- oder TabPy-Verbindungen.

Synopse

tsm security vizql-extsvc-ssl enable --connection-type <type> --extsvc-host <host_name> --extsvc-port <port> [options] [global options]

Optionen

--connection-type <type>

Geben Sie den externen Diensttyp an, den Sie konfigurieren. Gültige Werte sind: rserve-secure, rserve, tabpy-secure, tabpy.

--extsvc-host <host_name>

Erforderlich. Geben Sie den Hostnamen oder die IP-Adresse des Servers in Ihrer Organisation an, der den externen Dienst hostet.

--extsvc-port <port_number>

Erforderlich. Geben Sie den Port an, der zum Herstellen einer Verbindung zum externen Dienst verwendet wird. Der Standardwert für Rserve lautet normalerweise 6311. Der Standardwert für TabPy lautet normalerweise 9004.

-cf, --cert-file <file.crt>

Optional. Geben Sie den Pfad und Dateinamen eines gültigen PEM-codierten x509-Zertifikats mit der Erweiterung ".crt" an.

--extsvc-username <user_name>

Optional. Wenn für die Verbindung zu dem externen Dienst eine Authentifizierung erforderlich ist, geben Sie den Benutzernamen an.

--extsvc-password <password>

Optional. Wenn für die Verbindung zu dem externen Dienst eine Authentifizierung erforderlich ist, geben Sie das Kennwort an.

--connect-timeout-ms <milliseconds>

Optional. Zeitüberschreitung der Verbindung in Millisekunden. Der Standardwert lautet 1000. Erhöhen Sie den Wert dieser Einstellung, wenn bei Tableau ein Timeout auftritt, bevor der externe Server antworten kann.

--script-disabled <true | false>

Optional. Deaktivieren Sie die Ausführung von Skripts in Tableau Server, die von dem externen Dienst stammen. Der Standardwert lautet true. Wenn Sie die Ausführung von Skripts des externen Diensts in Tableau Server zulassen möchten, legen Sie diese Einstellung auf false fest.

tsm security vizql-extsvc-ssl-Liste

Zeigt eine Liste der Einstellungen an, die sich auf die Konfiguration der SSL-Verbindung für externe Dienste für SCRIPT-Funktionen beziehen. Die Liste enthält die Namen der verwendeten Zertifikatdateien, Hostname, Port, Benutzername, Timeout-Dauer und andere Details.

Synopse

tsm security vizql-extsvc-ssl list [global options]

Globale Optionen

-h, --help

Optional.

Hilfe zum Befehl anzeigen.

-p, --password <Kennwort>

Zusammen mit -u oder --username erforderlich, wenn keine Sitzung aktiv ist.

Geben Sie das Kennwort für den in -u oder --username angegebenen Benutzer an.

Wenn das Kennwort Leerzeichen oder Sonderzeichen enthält, schließen Sie es in Anführungszeichen ein:

--password "my password"

-s, --server <URL_an_TSM>

Optional.

Adresse, die für Tableau Services Manager verwendet wird. Die URL muss mit https beginnen, Port 8850 enthalten und den Servernamen nicht als IP-Adresse verwenden, z. B. https://mytableauhost:8850. Wenn kein Server angegeben wird, dann wird https://<localhost | dnsname>:8850 verwendet.

--trust-admin-controller-cert

Optional.

Verwenden Sie dieses Flag, um dem selbstsignierten Zertifikat auf dem TSM-Controller zu vertrauen. Weitere Informationen zu vertrauenswürdigen Zertifikaten und CLI-Verbindungen finden Sie unter Verbinden von TSM-Clients.

-u, --username <Benutzer>

Zusammen mit -p oder --password erforderlich, wenn keine Sitzung aktiv ist.

Geben Sie ein Benutzerkonto an. Wenn Sie diese Option nicht einschließen, wird der Befehl mit den Anmeldeinformationen ausgeführt, mit denen Sie sich angemeldet haben.

Vielen Dank für Ihr Feedback! Es gab einen Fehler bei der Übermittlung Ihres Feedback. Versuchen Sie es erneut oder senden Sie uns eine Nachricht.