Konfigurieren des verschlüsselten Kanals für den externen LDAP-Identitätsspeicher
Tableau Server, das für die Herstellung einer Verbindung mit einem externen LDAP-Identitätsspeicher konfiguriert ist, muss das LDAP-Verzeichnis abfragen und eine Sitzung einrichten. Der Prozess zum Einrichten einer Sitzung wird als Bindung bezeichnet. Es gibt unterschiedliche Möglichkeiten zur Bindung. Tableau Server unterstützt zwei Methoden zum Binden mit einem LDAP-Verzeichnis:
Einfache Bindung: Hierbei wird per Authentifizierung mit einem Benutzernamen und einem Kennwort eine Sitzung eingerichtet. Standardmäßig ist LDAP mit einer einfachen Bindung nicht verschlüsselt. Wenn Sie LDAP mit einer einfachen Bindung konfigurieren, wird dringend empfohlen, "LDAP über SSL/TLS" zu aktivieren.
GSSAPI-Bindung: GSSAPI verwendet Kerberos zur Authentifizierung. Bei der Konfiguration mit einer Keytab-Datei ist die Authentifizierung während der GSSAPI-Bindung sicher. Der nachfolgende Datenverkehr zum LDAP-Server wird jedoch nicht verschlüsselt. Es wird empfohlen, "LDAP über SSL/TLS" zu konfigurieren.
Wenn Sie Tableau Server unter Windows ausführen und der Computer mit einer Active Directory-Domäne verknüpft wurde, müssen Sie GSAPI konfigurieren. Die Tableau Server GUI-Einrichtung erkennt und konfiguriert die Active Directory-Verbindung für Sie mithilfe von Kerberos. Weitere Informationen finden Sie unter Konfigurieren der Einstellungen für den ursprünglichen Knoten. Führen Sie LDAP nicht mit einfacher Bindung für die Active Directory-Kommunikation aus.
In diesem Thema wird beschrieben, wie Sie den Kanal für die einfache LDAP-Bindung für die Kommunikation zwischen Tableau Server und LDAP-Verzeichnisservern verschlüsseln.
Zertifikatsanforderungen
Sie müssen über ein gültiges, PEM-codiertes x509-SSL/TLS-Zertifikat verfügen, das für die Verschlüsselung verwendet werden kann. Die Zertifikatdatei muss die Erweiterung ".crt" haben.
Selbstsignierte Zertifikate werden nicht unterstützt.
Das von Ihnen installierte Zertifikat muss
Key Encipherment
im Schlüsselverwendungsfeld enthalten, das für SSL/TLS verwendet werden soll. Tableau Server verwendet dieses Zertifikat nur zum Verschlüsseln des Kanals an den LDAP-Server. Das Ablaufdatum, die Vertrauensstellung und die CRL sowie andere Attribute werden nicht validiert.Wenn Sie Tableau Server in einer verteilten Bereitstellung ausführen, müssen Sie das SSL-Zertifikat manuell auf jeden Knoten im Cluster kopieren. Kopieren Sie das Zertifikat nur auf die Knoten, auf denen der Tableau Server Application Server-Prozess konfiguriert ist. Im Gegensatz zu anderen freigegebenen Dateien in einer Cluster-Umgebung wird das für LDAP verwendete SSL-Zertifikat nicht automatisch vom Clientdateidienst verteilt.
- Wenn Sie ein PKI- oder Nicht-Drittanbieter-Zertifikat verwenden, laden Sie das Stammzertifikat der Zertifizierungstelle in den Java-Vertrauensspeicher hoch.
Importieren von Zertifikaten in den Tableau-Schlüsselspeicher
Wenn Sie noch keine Zertifikate auf Ihrem Computer gespeichert haben, die für den LDAP-Server konfiguriert sind, benötigen Sie ein SSL-Zertifikat für den LDAP-Server, das Sie in den Schlüsselspeicher des Tableau-Systems importieren müssen.
Verwenden Sie das Java-Tool "keytool" zum Importieren von Zertifikaten. In einer Standardinstallation wird dieses Tool zusammen mit Tableau Server unter C:\Program Files\Tableau\Tableau Server\packages\repository.<version>\jre\bin\keytool.exe
installiert.
Führen Sie als Administrator den folgenden Befehl aus, um das Zertifikat zu importieren (Sie müssen <variables>
für Ihre Umgebung ersetzen):
"C:\Program Files\Tableau\Tableau Server\packages\repository.<version>\jre\bin\keytool.exe" -importcert -file "C:\Program Files\Tableau\Tableau Server\<LDAP-certificate-file>.crt" -alias "<ldapserver.name>" -keystore "C:\ProgramData\Tableau\Tableau Server\tableauservicesmanagerca.jks" -storepass changeit -noprompt
Das Kennwort für den Java-Schlüsselspeicher lautet changeit
. (Ändern Sie das Kennwort für den Java-Schlüsselspeicher nicht).
LDAPS-Verschlüsselungsmethode
Tableau Server unterstützt LDAPS zum Verschlüsseln des LDAP-Kanals für einfache Bindungen.
Secure LDAP (LDAPS) ist ein verschlüsselter Standardkanal, der konfiguriert werden muss. Zusätzlich zu einem TLS-Zertifikat für Tableau Server müssen Sie insbesondere den Hostnamen und den sicheren LDAP-Port für den LDAP-Zielserver festlegen.
Konfigurieren eines verschlüsselten Kanals für einfache Bindung
Wenn Ihre Organisation ein anderes LDAP-Verzeichnis als Active Directory verwendet, befolgen Sie die hier beschriebenen Verfahren zum Konfigurieren eines verschlüsselten Kanals für eine einfache LDAP-Bindung.
In diesem Abschnitt wird beschrieben, wie Tableau Server so konfiguriert wird, dass ein verschlüsselter Kanal für eine einfache LDAP-Bindung verwendet wird.
Hinweise zur Konfiguration
Sie müssen Tableau Server so konfigurieren, dass ein verschlüsselter Kanal für eine einfache LDAP-Bindung verwendet wird, bevor Tableau Server initialisiert wird. Oder als Teil der Konfiguration des anfänglichen Knotens, wie auf der Registerkarte "Verwenden der TSM-Befehlszeile" in Konfigurieren der Einstellungen für den ursprünglichen Knoten beschrieben.
Bei Neuinstallationen von Tableau Server
Wenn Ihre Organisation ein anderes LDAP-Verzeichnis als Active Directory verwendet, können Sie die TSM-GUI-Einrichtung nicht verwenden, um den Identitätsspeicher als Teil der Tableau Server-Installation zu konfigurieren. Stattdessen müssen Sie JSON-Entitätsdateien verwenden, um den LDAP-Identitätsspeicher zu konfigurieren. Informationen finden Sie unter identityStore-Entität.
Bevor Sie die identityStore-Entität konfigurieren, importieren Sie ein gültiges SSL/TLS-Zertifikat in den Tableau-Schlüsselspeicher, wie zuvor in diesem Thema dokumentiert.
Zum Konfigurieren von LDAPS müssen die Hostnamen- und sslPort-Optionen in der identityStore-JSON-Datei festgelegt werden.